CRITICAL🇬🇧 English

CVE-2025-12363

Ujawnienie hasła e-mail w urządzeniach Azure-Access BLU-IC2 i BLU-IC4

CVSS 10.0v4.0pub. 2025-10-27upd. 2025-11-10

Podatność w urządzeniach Azure-Access BLU-IC2 oraz BLU-IC4 (firmware do wersji 1.19.5) umożliwia nieautoryzowanemu atakującemu uzyskanie hasła konta e-mail skonfigurowanego w urządzeniu. Krytyczny poziom CVSS 10.0 wskazuje na brak jakichkolwiek wymagań wstępnych po stronie atakującego, co czyni tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

Email Password Disclosure.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor) polega na tym, że urządzenie ujawnia hasło e-mail w sposób dostępny dla nieuwierzytelnionego atakującego zdalnego. Wektor ataku sieciowy bez wymagań dotyczących uwierzytelnienia, interakcji użytkownika ani szczególnych warunków oznacza, że exploit może być przeprowadzony przez sieć bez żadnych uprawnień. Szczegółowy mechanizm ujawnienia (np. odpowiedź API, interfejs webowy, niezaszyfrowana transmisja) nie został sprecyzowany w opisie producenta.

Skutki

Atakujący może uzyskać dostęp do hasła konta e-mail skonfigurowanego w urządzeniu, co może prowadzić do przejęcia konta pocztowego, dalszego ruchu lateralnego w sieci oraz naruszenia poufności, integralności i dostępności zarówno systemu docelowego, jak i systemów powiązanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji firmware zaleca się izolację urządzeń od publicznych sieci sieciowych oraz ograniczenie dostępu do nich wyłącznie do zaufanych segmentów sieci.

Kogo dotyczy

Azure-Access BLU-IC2 z firmware w wersji do 1.19.5 włącznie oraz Azure-Access BLU-IC4 z firmware w wersji do 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12363 — Ujawnienie hasła e-mail w urządzeniach Azure-Access BLU-IC2 i BLU-IC4 — CRITICAL 10.0 | CVEbaza.pl