CRITICAL✓ PATCH🇬🇧 English

CVE-2025-11366

Authentication bypass via path traversal w N-Able N-Central

CVSS 9.4v4.0pub. 2025-11-12upd. 2025-11-14

N-Able N-Central w wersjach starszych niż 2025.4 zawiera krytyczną podatność umożliwiającą ominięcie uwierzytelnienia poprzez path traversal. Ze względu na wysoki wynik CVSS 9.4 i możliwość zdalnego wykorzystania bez interakcji użytkownika, stanowi poważne zagrożenie dla infrastruktury zarządzanej IT.

Pokaż oryginał (EN)

N-central < 2025.4 is vulnerable to authentication bypass via path traversal

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-22 (path traversal) pozwala atakującemu na manipulowanie ścieżkami żądań sieciowych w taki sposób, by ominąć mechanizmy uwierzytelnienia aplikacji. Atakujący posiadający jedynie konto z niskim poziomem uprawnień (PR:L) może wysłać odpowiednio spreparowane żądanie HTTP zawierające sekwencje path traversal, które skutkują dostępem do chronionych zasobów bez wymaganej autoryzacji. Wektor ataku jest sieciowy, bez konieczności fizycznego dostępu ani interakcji po stronie ofiary.

Skutki

Pomyślne wykorzystanie podatności pozwala atakującemu na ominięcie mechanizmów uwierzytelnienia i uzyskanie nieautoryzowanego dostępu do systemu N-Central, co zgodnie z wektorem CVSS wiąże się z wysokim wpływem na poufność, integralność i dostępność zarówno samego systemu, jak i systemów powiązanych.

Mitygacja

Należy niezwłocznie zaktualizować N-Able N-Central do wersji 2025.4 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.

Kogo dotyczy

N-Able N-Central w wersjach poprzedzających 2025.4

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • N Able N Central

    APP
    N-Able
    < 2025.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Path TraversalAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-8875CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Deserializacja niezaufanych danych w N-Able N-Central umożliwia RCE

CVE-2025-8876CRITICAL9.4⚠ KEVPL ✓ten sam produkt

OS Command Injection w N-able N-central (przed wersją 2025.3.1)

CVE-2025-11367CRITICAL10.0PL ✓ten sam produkt

RCE przez deserialization w N-Able N-Central Software Probe

CVE-2024-28200CRITICAL9.1PL ✓ten sam produkt

Authentication Bypass interfejsu użytkownika w N-Able N-Central

CVE-2024-5322CRITICAL9.1PL ✓ten sam produkt

Authentication Bypass w N-Able N-Central poprzez session rebinding (Entra SSO)