CRITICAL🇬🇧 English

CVE-2024-25660

Nieautoryzowane operacje na plikach przez WebDAV w Nokia/Infinera TNMS

CVSS 9.0v3.1pub. 2024-10-01upd. 2025-07-03

Usługa WebDAV w systemie Infinera TNMS 19.10.3 działa z nadmiernymi uprawnieniami, co pozwala nisko uprzywilejowanemu zdalnemu atakującemu na wykonywanie nieautoryzowanych operacji na plikach. Podatność jest oceniana jako krytyczna (CVSS 9.0) ze względu na możliwość naruszenia poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

The WebDAV service in Infinera TNMS (Transcend Network Management System) 19.10.3 allows a low-privileged remote attacker to conduct unauthorized file operations, because of execution with unnecessary privileges.

🤖 Analiza AI
Jak działa

Usługa WebDAV uruchomiona w ramach platformy TNMS działa z uprawnieniami wykraczającymi poza niezbędne minimum (CWE-266 – Incorrect Privilege Assignment). Atakujący posiadający jedynie konto o niskich uprawnieniach może, po skłonieniu użytkownika do interakcji (UI:R), wysyłać żądania do usługi WebDAV i wykonywać operacje na plikach systemowych w kontekście nadmiernie uprzywilejowanego procesu. Mechanizm ten umożliwia dostęp do zasobów, do których atakujący normalnie nie powinien mieć dostępu.

Skutki

Atakujący może uzyskać nieautoryzowany odczyt, zapis lub usunięcie plików w systemie zarządzania siecią, co prowadzi do naruszenia poufności konfiguracji sieci, modyfikacji danych zarządczych oraz potencjalnego zakłócenia działania usług sieciowych zarządzanych przez TNMS.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do usługi WebDAV wyłącznie do zaufanych hostów oraz stosowanie zasady minimalnych uprawnień dla procesów usług zarządzania siecią.

Kogo dotyczy

Infinera TNMS (Transcend Network Management System) w wersji 19.10.3

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Nokia Transcend Network Management System

    APP
    Nokia
    19.10.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-25659HIGH7.2ten sam produkt

In Infinera TNMS (Transcend Network Management System) 19.10.3, an insecure default configuration of the inter...

CVE-2024-25661HIGH7.7ten sam produkt

In Infinera TNMS (Transcend Network Management System) 19.10.3, cleartext storage of sensitive information in ...

CVE-2024-25658MEDIUM6.5ten sam produkt

Cleartext storage of passwords in Infinera TNMS (Transcend Network Management System) Server 19.10.3 allows at...

CVE-2025-27019CRITICAL9.8PL ✓ten sam vendor

Nokia Infinera MTC-9: dostęp bez hasła przez usługę RSH umożliwia reverse shell

CVE-2025-27020CRITICAL9.8PL ✓ten sam vendor

Pominięcie uwierzytelnienia SSH w Nokia Infinera MTC-9 umożliwia RCE