CRITICAL✓ PATCH🇬🇧 English

CVE-2024-28200

Authentication Bypass interfejsu użytkownika w N-Able N-Central

CVSS 9.1v3.1pub. 2024-07-01upd. 2024-11-21

Serwer N-Central firmy N-able jest podatny na ominięcie uwierzytelnienia (authentication bypass) w interfejsie użytkownika. Podatność ma ocenę krytyczną (CVSS 9.1) i dotyczy wszystkich wdrożeń N-Central przed wersją 2024.2.

Pokaż oryginał (EN)

The N-central server is vulnerable to an authentication bypass of the user interface. This vulnerability is present in all deployments of N-central prior to 2024.2. This vulnerability was discovered through internal N-central source code review and N-able has not observed any exploitation in the wild.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) oraz CWE-287 (Improper Authentication) polega na możliwości obejścia mechanizmów uwierzytelnienia interfejsu użytkownika serwera N-Central. Atakujący zdalny, nieuwierzytelniony może skorzystać z alternatywnej ścieżki lub błędnie zaimplementowanego procesu weryfikacji tożsamości, by uzyskać dostęp do interfejsu bez posiadania prawidłowych poświadczeń. Podatność ujawniono podczas wewnętrznego przeglądu kodu źródłowego N-Central przez zespół N-able.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do interfejsu zarządzania N-Central, co w konsekwencji może prowadzić do przejęcia kontroli nad zarządzanymi urządzeniami, ujawnienia poufnych danych lub modyfikacji konfiguracji środowiska IT.

Mitygacja

Należy zaktualizować N-Central do wersji 2024.2 lub nowszej, zgodnie z informacjami zawartymi w oficjalnych Release Notes producenta dostępnych pod adresem wskazanym w referencjach. Zaleca się również ograniczenie dostępu sieciowego do interfejsu zarządzania N-Central wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Wszystkie wdrożenia N-Able N-Central w wersjach wcześniejszych niż 2024.2

Uwagi

Podatność została wykryta podczas wewnętrznego przeglądu kodu źródłowego N-Central przez zespół N-able. Producent potwierdza brak zaobserwowanych przypadków eksploatacji w środowiskach produkcyjnych (brak wpisu w CISA KEV).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • N Able N Central

    APP
    N-Able
    < 2024.2
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-8875CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Deserializacja niezaufanych danych w N-Able N-Central umożliwia RCE

CVE-2025-8876CRITICAL9.4⚠ KEVPL ✓ten sam produkt

OS Command Injection w N-able N-central (przed wersją 2025.3.1)

CVE-2025-11367CRITICAL10.0PL ✓ten sam produkt

RCE przez deserialization w N-Able N-Central Software Probe

CVE-2025-11366CRITICAL9.4PL ✓ten sam produkt

Authentication bypass via path traversal w N-Able N-Central

CVE-2024-5322CRITICAL9.1PL ✓ten sam produkt

Authentication Bypass w N-Able N-Central poprzez session rebinding (Entra SSO)

CVE-2024-28200 — Authentication Bypass interfejsu użytkownika w N-Able N-Central — CRITICAL 9.1 | CVEbaza.pl