CRITICAL🇬🇧 English

CVE-2025-64125

Nuvation Energy nCloud VPN Service — Network Boundary Bridging (CWE-441)

CVSS 9.4v4.0pub. 2026-01-03upd. 2026-04-15

Podatność w usłudze Nuvation Energy nCloud VPN Service umożliwiała tzw. Network Boundary Bridging, czyli nieautoryzowane przekraczanie granic segmentacji sieci. Jest to podatność krytyczna (CVSS 9.4) mogąca prowadzić do naruszenia izolacji między segmentami sieciowymi.

Pokaż oryginał (EN)

A vulnerability in Nuvation Energy nCloud VPN Service allowed Network Boundary Bridging.This issue affected the nCloud VPN Service and was fixed on 2025-12-1 (December, 2025). End users do not have to take any action to mitigate the issue.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-441 (Unintended Proxy lub Pośrednik) polega na tym, że usługa VPN działała jako niezamierzony pośrednik umożliwiający ruch między segmentami sieci, które powinny być od siebie odizolowane. W efekcie atakujący z dostępem do jednego segmentu sieci mógł potencjalnie osiągać zasoby w segmentach, do których dostęp powinien być zabroniony. Wektor ataku jest sieciowy, nie wymaga skomplikowanych warunków, a udana eksploatacja może mieć wpływ zarówno na systemy docelowe, jak i na infrastrukturę zewnętrzną.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do zasobów w izolowanych segmentach sieci, co w środowiskach przemysłowych lub krytycznych może prowadzić do naruszenia poufności, integralności oraz dostępności systemów OT/IT.

Mitygacja

Poprawka została wdrożona po stronie dostawcy w dniu 1 grudnia 2025 r. Producent informuje, że użytkownicy końcowi nie muszą podejmować żadnych dodatkowych działań w celu usunięcia podatności — naprawa nastąpiła po stronie serwisu.

Kogo dotyczy

Nuvation Energy nCloud VPN Service — wersje opublikowane przed 2025-12-01 (grudzień 2025)

Uwagi

Podatność została naprawiona przez producenta po stronie usługi chmurowej w dniu 1 grudnia 2025 r. bez konieczności działania ze strony użytkowników końcowych. Referencja w zgłoszeniu wskazuje na doradztwo Dragos (CVE-2025-64119), które może zawierać dodatkowe szczegóły techniczne.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
VPN
CWE
Referencje