CRITICAL🇬🇧 English

CVE-2025-9265

Kiloview NDI N30 — ominięcie uwierzytelnienia umożliwiające przejęcie kontroli

CVSS 10.0v4.0pub. 2025-10-13upd. 2026-04-15

Podatność w urządzeniu Kiloview NDI N30 pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wyłączenie weryfikacji użytkownika i uzyskanie dostępu do funkcji administracyjnych. Ze względu na brak wymagań wstępnych (brak uwierzytelnienia, brak interakcji użytkownika) oraz maksymalny wynik CVSS 10.0, jest to zagrożenie krytyczne.

Pokaż oryginał (EN)

A broken authorization vulnerability in Kiloview NDI N30 allows a remote unauthenticated attacker to deactivate user verification, giving them access to state changing actions that should only be initiated by administratorsThis issue affects Kiloview NDI N30 and was fixed in Firmware version later than 2.02.0246

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej implementacji mechanizmu autoryzacji (CWE-287, CWE-290, CWE-346), która umożliwia atakującemu zdalne dezaktywowanie weryfikacji tożsamości użytkownika. Po wyłączeniu tego mechanizmu atakujący uzyskuje dostęp do akcji zmieniających stan urządzenia, które powinny być zarezerwowane wyłącznie dla administratorów. Atak może być przeprowadzony zdalnie przez sieć bez żadnych poświadczeń ani interakcji ze strony uprawnionego użytkownika.

Skutki

Atakujący uzyskuje pełen dostęp do funkcji administracyjnych urządzenia, co pozwala na dowolną modyfikację jego konfiguracji i stanu. Skutkiem może być całkowite przejęcie kontroli nad urządzeniem Kiloview NDI N30 oraz potencjalny wpływ na infrastrukturę, z którą jest ono zintegrowane.

Mitygacja

Należy zaktualizować firmware urządzenia Kiloview NDI N30 do wersji nowszej niż 2.02.0246. Aktualizacja dostępna jest na stronie producenta: https://www.kiloview.com/en/support/download/n30-firmware-downloadlatest/

Kogo dotyczy

Kiloview NDI N30 — wersje firmware do 2.02.0246 włącznie

Uwagi

Podatność dotyczy wyłącznie modelu Kiloview NDI N30. Producent udostępnił poprawkę w firmware w wersji późniejszej niż 2.02.0246.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-9265 — Kiloview NDI N30 — ominięcie uwierzytelnienia umożliwiające przejęcie kontroli — CRITICAL 10.0 | CVEbaza.pl