CRITICAL🇬🇧 English

CVE-2025-0324

Privilege escalation w VAPIX Device Configuration Framework (Axis OS)

CVSS 9.4v3.1pub. 2025-06-02upd. 2026-01-15

Podatność w frameworku VAPIX Device Configuration w systemie Axis OS umożliwia użytkownikowi o niskich uprawnieniach uzyskanie uprawnień administratora. Ze względu na krytyczny wynik CVSS 9.4 i brak wymogu uwierzytelnienia ani interakcji użytkownika, stanowi poważne zagrożenie dla urządzeń Axis.

Pokaż oryginał (EN)

The VAPIX Device Configuration framework allowed a privilege escalation, enabling a lower-privileged user to gain administrator privileges.

🤖 Analiza AI
Jak działa

Framework VAPIX Device Configuration nieprawidłowo weryfikuje poziom uprawnień wywołującego użytkownika (CWE-791 — niepełna filtracja specjalnych elementów). Błąd ten pozwala atakującemu działającemu jako użytkownik o niskich uprawnieniach na eskalację do poziomu administratora (privilege escalation) bez konieczności podawania dodatkowych poświadczeń. Atak jest możliwy zdalnie, przez sieć, bez żadnej interakcji ze strony ofiary.

Skutki

Atakujący uzyskuje pełne uprawnienia administratora na urządzeniu Axis, co umożliwia mu przejęcie pełnej kontroli nad konfiguracją urządzenia, odczyt wrażliwych danych oraz potencjalną modyfikację systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe wersje naprawiające podatność podane są w oficjalnym biuletynie bezpieczeństwa Axis.

Kogo dotyczy

Axis OS 2024 oraz Axis OS — szczegółowe wersje wskazane w referencjach producenta (https://www.axis.com/dam/public/04/f3/1c/cve-2025-0324pdf-en-US-483807.pdf)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
  • Axis Os

    OS
    Axis
    12.0.0 – 12.3.33 (bez)
  • Axis Os 2024

    OS
    Axis
    11.8.0 – 11.11.140 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2023-21413CRITICAL9.1ten sam produkt

GoSecure on behalf of Genetec Inc. has found a flaw that allows for a remote code execution during the install...

CVE-2025-11142HIGH7.1ten sam produkt

The VAPIX API mediaclip.cgi that did not have a sufficient input validation allowing for a possible remote cod...

CVE-2025-0358HIGH8.8ten sam produkt

During an annual penetration test conducted on behalf of Axis Communication, Truesec discovered a flaw in the ...

CVE-2025-0360HIGH7.8ten sam produkt

During an annual penetration test conducted on behalf of Axis Communication, Truesec discovered a flaw in the ...

CVE-2025-0359HIGH8.5ten sam produkt

During an annual penetration test conducted on behalf of Axis Communication, Truesec discovered a flaw in the ...