CRITICAL🇬🇧 English

CVE-2025-67791

DriveLock — obejście uwierzytelniania agenta (Auth Bypass) w DES

CVSS 9.8v3.1pub. 2025-12-17upd. 2025-12-18

Niekompletna konfiguracja uwierzytelniania agentów w środowisku DriveLock umożliwia nieuwierzytelnionemu atakującemu podszywanie się pod dowolnego agenta DriveLock w sieci. Podatność otrzymała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

An issue was discovered in DriveLock 24.1 through 24.1.*, 24.2 through 24.2.*, and 25.1 through 25.1.*. An incomplete configuration (agent authentication) in DriveLock tenant allows attackers to impersonate any DriveLock agent on the network against the DES (DriveLock Enterprise Service).

🤖 Analiza AI
Jak działa

W wersjach DriveLock 24.1.*, 24.2.* oraz 25.1.* konfiguracja uwierzytelniania agentów w ramach tenanta DriveLock jest niekompletna (CWE-287 — niewłaściwe uwierzytelnianie). Skutkuje to brakiem skutecznej weryfikacji tożsamości agentów komunikujących się z usługą DriveLock Enterprise Service (DES). Atakujący sieciowy, bez posiadania jakichkolwiek poświadczeń, może wysyłać do DES żądania z podszywaną tożsamością dowolnego legalnego agenta DriveLock.

Skutki

Atakujący może w pełni podszyć się pod autoryzowanego agenta DriveLock i w konsekwencji uzyskać nieautoryzowany dostęp do danych, wprowadzać nieautoryzowane zmiany w konfiguracji zarządzanych endpointów lub zakłócać działanie usługi DES, co odpowiada wysokiemu wpływowi na poufność, integralność i dostępność.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (biuletyn bezpieczeństwa DriveLock 25-006 dostępny pod adresem wskazanym w referencjach). Rekomenduje się również weryfikację i uzupełnienie konfiguracji uwierzytelniania agentów w tenantach DriveLock zgodnie z wytycznymi producenta.

Kogo dotyczy

DriveLock w wersjach 24.1 do 24.1.*, 24.2 do 24.2.* oraz 25.1 do 25.1.*

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Drivelock

    APP
    Drivelock
    24.1 – 24.1.424.2 – 24.2.825.1 – 25.1.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-67781CRITICAL9.9PL ✓ten sam produkt

DriveLock — eskalacja uprawnień przez manipulację procesami uprzywilejowanymi

CVE-2025-67787CRITICAL9.6PL ✓ten sam produkt

XSS w DriveLock Operations Center umożliwiający przejęcie sesji

CVE-2025-67793CRITICAL9.8PL ✓ten sam produkt

DriveLock — nieautoryzowana eskalacja uprawnień do roli Supervisor przez API

CVE-2025-55187CRITICAL9.9PL ✓ten sam produkt

DriveLock — privilege escalation umożliwiające przejęcie kontroli nad systemem

CVE-2025-67790HIGH7.5ten sam produkt

An issue was discovered in DriveLock 24.1 before 24.1.6, 24.2 before 24.2.7, and 25.1 before 25.1.5. An unpriv...