CRITICAL🇬🇧 English

CVE-2025-10220

RCE w Axxon One VMS poprzez podatne komponenty NuGet (CWE-1104)

CVSS 9.3v4.0pub. 2025-09-10upd. 2025-12-19

Podatność w systemie Axxon One VMS wynika z użycia niezaktualizowanych, podatnych bibliotek NuGet. Umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu lub ominięcie mechanizmów bezpieczeństwa.

Pokaż oryginał (EN)

Use of Unmaintained Third Party Components (CWE-1104) in the NuGet dependency components in AxxonSoft Axxon One VMS 2.0.0 through 2.0.4 on Windows allows a remote attacker to execute arbitrary code or bypass security features via exploitation of vulnerable third-party packages such as Google.Protobuf, DynamicData, System.Runtime.CompilerServices.Unsafe, and others.

🤖 Analiza AI
Jak działa

System Axxon One VMS w wersjach 2.0.0–2.0.4 korzysta z przestarzałych i niezaktualizowanych pakietów NuGet, takich jak Google.Protobuf, DynamicData, System.Runtime.CompilerServices.Unsafe oraz innych. Atakujący może wykorzystać znane podatności w tych bibliotekach, wysyłając odpowiednio spreparowane żądania sieciowe. Ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika, powierzchnia ataku jest bardzo szeroka.

Skutki

Atakujący może zdalnie wykonać dowolny kod na systemie ofiary (RCE) lub ominąć mechanizmy bezpieczeństwa aplikacji, co może prowadzić do pełnego przejęcia kontroli nad systemem zarządzania wideo.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowe informacje dostępne są w polityce ujawniania podatności AxxonSoft pod adresem: https://www.axxonsoft.com/legal/axxonsoft-vulnerability-disclosure-policy/security-advisories

Kogo dotyczy

AxxonSoft Axxon One VMS w wersjach 2.0.0 do 2.0.4 działających na systemie Windows

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Axxonsoft Axxon One

    APP
    Axxonsoft
    2.0.0 – 2.0.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-10226CRITICAL9.3PL ✓ten sam produkt

RCE i privilege escalation w AxxonSoft Axxon One przez podatny komponent PostgreSQL

CVE-2025-10225HIGH8.7ten sam produkt

Improper Restriction of Operations within the Bounds of a Memory Buffer (CWE-119) in the OpenSSL-based session...

CVE-2025-10223MEDIUM5.3ten sam produkt

Insufficient Session Expiration (CWE-613) in the Web Admin Panel in AxxonSoft Axxon One (C-Werk) prior to 2.0....

CVE-2025-10221MEDIUM6.7ten sam produkt

Insertion of Sensitive Information into Log File (CWE-532) in the ARP Agent component in AxxonSoft Axxon One /...

CVE-2025-10227MEDIUM5.1ten sam produkt

Missing Encryption of Sensitive Data (CWE-311) in the Object Archive component in AxxonSoft Axxon One (C-Werk)...