CRITICAL🇬🇧 English

CVE-2025-61956

Brak uwierzytelnienia dla krytycznych funkcji w Radiometrics VizAir

CVSS 10.0v4.0pub. 2025-11-04upd. 2025-11-12

Radiometrics VizAir nie wymaga uwierzytelnienia dla krytycznych funkcji, takich jak dostęp administracyjny i żądania API. Podatność jest wyjątkowo groźna ze względu na możliwość manipulowania danymi lotniczymi i meteorologicznymi, co może bezpośrednio zagrażać bezpieczeństwu ruchu lotniczego.

Pokaż oryginał (EN)

Radiometrics VizAir is vulnerable to a lack of authentication mechanisms for critical functions, such as admin access and API requests. Attackers can modify configurations without authentication, potentially manipulating active runway settings and misleading air traffic control (ATC) and pilots. Additionally, manipulated meteorological data could mislead forecasters and ATC, causing inaccurate flight planning.

🤖 Analiza AI
Jak działa

Atakujący bez żadnych poświadczeń może uzyskać dostęp do panelu administracyjnego oraz wywoływać żądania API systemu VizAir. Brak mechanizmów uwierzytelnienia (CWE-306) pozwala na nieautoryzowaną modyfikację konfiguracji systemu, w tym ustawień aktywnych pasów startowych oraz danych meteorologicznych. Zmanipulowane dane mogą być następnie prezentowane kontrolerom ruchu lotniczego (ATC) i pilotom jako wiarygodne informacje operacyjne.

Skutki

Atakujący może zdalnie i bez uwierzytelnienia modyfikować konfigurację systemu, fałszować dane o stanie pasów startowych oraz manipulować danymi meteorologicznymi, co może wprowadzać w błąd kontrolerów ruchu lotniczego (ATC), pilotów i meteorologów, prowadząc do błędnego planowania lotów i potencjalnego zagrożenia bezpieczeństwa w lotnictwie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (CISA ICS Advisory ICSA-25-308-04: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04). Do czasu wdrożenia poprawek zaleca się izolację systemu od sieci publicznych, ograniczenie dostępu sieciowego do minimum oraz zastosowanie dodatkowych mechanizmów kontroli dostępu na poziomie sieci (firewall, VPN).

Kogo dotyczy

Radiometrics VizAir — wersje wskazane w referencjach producenta (advisory ICSA-25-308-04)

Uwagi

Podatność dotyczy systemu klasy OT/ICS wykorzystywanego w lotnictwie (systemy meteorologiczne lotnisk). Advisory zostało opublikowane przez CISA w ramach serii ICS Advisories (ICSA-25-308-04). Ze względu na potencjalny wpływ na bezpieczeństwo ruchu lotniczego oraz maksymalny wynik CVSS 10.0, zalecane jest pilne działanie nawet przy braku potwierdzonych przypadków wykorzystania.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Radiometrics Vizair

    APP
    Radiometrics
    < 2025-08
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54863CRITICAL10.0PL ✓ten sam produkt

Radiometrics VizAir — ujawnienie klucza API REST w pliku konfiguracyjnym

CVE-2025-61945CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w panelu admina Radiometrics VizAir