CRITICAL🇬🇧 English

CVE-2025-11832

Brak limitów alokacji zasobów w Azure Access Technology BLU-IC2/BLU-IC4

CVSS 10.0v4.0pub. 2025-10-15upd. 2025-11-07

Podatność klasy CWE-770 w urządzeniach Azure Access Technology BLU-IC2 oraz BLU-IC4 umożliwia atakującemu przeprowadzenie ataku typu flooding bez konieczności uwierzytelnienia. Luka otrzymała maksymalną ocenę CVSS 10.0, co czyni ją zagrożeniem krytycznym.

Pokaż oryginał (EN)

Allocation of Resources Without Limits or Throttling vulnerability in Azure Access Technology BLU-IC2, Azure Access Technology BLU-IC4 allows Flooding.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Urządzenia BLU-IC2 i BLU-IC4 nie implementują mechanizmów ograniczania ani kontroli przydziału zasobów sieciowych. Atakujący zdalnie, bez żadnych uprawnień, może wysyłać nadmierną liczbę żądań lub połączeń, powodując wyczerpanie zasobów urządzenia. Brak throttlingu lub limitów po stronie urządzenia sprawia, że atak flooding może być przeprowadzony przez dowolny podmiot sieciowy.

Skutki

Atakujący może doprowadzić do niedostępności urządzenia (denial of service), a ze względu na maksymalny wpływ na poufność, integralność i dostępność zarówno systemu, jak i jego otoczenia — potencjalnie także do utraty kontroli nad urządzeniem i systemami z nim powiązanymi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu sieciowego do urządzeń BLU-IC2 i BLU-IC4 wyłącznie do zaufanych hostów poprzez reguły firewall lub segmentację sieci.

Kogo dotyczy

Azure Access Technology BLU-IC2 we wszystkich wersjach firmware do 1.19.5 włącznie oraz Azure Access Technology BLU-IC4 we wszystkich wersjach firmware do 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-11832 — Brak limitów alokacji zasobów w Azure Access Technology BLU-IC2/BLU-IC4 — CRITICAL 10.0 | CVEbaza.pl