Podatność w komponencie N-central Software Probe (wersje przed 2025.4) umożliwia zdalne wykonanie kodu (RCE) poprzez niebezpieczną deserializację danych. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla infrastruktury zarządzanej przez N-Able N-Central.
▸ Pokaż oryginał (EN)
The N-central Software Probe < 2025.4 is vulnerable to Remote Code Execution via deserialization
Błąd sklasyfikowany jako CWE-502 (Deserialization of Untrusted Data) polega na tym, że komponent Software Probe przetwarza zewnętrznie dostarczone dane serializowane bez odpowiedniej walidacji ich pochodzenia i zawartości. Atakujący niewymagający żadnego uwierzytelnienia może dostarczyć spreparowany payload poprzez sieć, który podczas deserializacji zostaje wykonany w kontekście procesu usługi. Wektor ataku jest sieciowy, bez interakcji użytkownika i bez wymaganych uprawnień, co oznacza pełną zdalna eksploatację.
Atakujący może uzyskać zdalne wykonanie dowolnego kodu na systemie, na którym działa N-central Software Probe, a wysoki wpływ na poufność, integralność i dostępność zarówno systemu lokalnego, jak i systemów powiązanych wskazuje na możliwość całkowitego przejęcia kontroli oraz potencjalny lateral movement w zarządzanej infrastrukturze.
Należy jak najszybciej zaktualizować N-central Software Probe do wersji 2025.4 lub nowszej. Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach. Do czasu aktualizacji należy rozważyć ograniczenie dostępu sieciowego do portów używanych przez Software Probe wyłącznie do zaufanych źródeł.
N-Able N-Central Software Probe w wersjach wcześniejszych niż 2025.4 (komponent działający na systemach Windows).
Podatność dotyczy wyłącznie komponentu Software Probe działającego na systemach Windows, co wynika z oficjalnego advisory producenta (N-central Windows Software Probe Remote Code Execution). Data publikacji advisory: 12 listopada 2025.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XN Able N Central
APPN-Able< 2025.4
Powiązane podatności
Deserializacja niezaufanych danych w N-Able N-Central umożliwia RCE
OS Command Injection w N-able N-central (przed wersją 2025.3.1)
Authentication bypass via path traversal w N-Able N-Central
Authentication Bypass interfejsu użytkownika w N-Able N-Central
Authentication Bypass w N-Able N-Central poprzez session rebinding (Entra SSO)