CRITICAL🇬🇧 English

CVE-2025-12424

Privilege Escalation przez binarny plik SUID-bit w Azure-Access BLU-IC2/IC4

CVSS 10.0v4.0pub. 2025-10-28upd. 2025-11-07

Podatność umożliwia nieuprawnione podniesienie uprawnień (privilege escalation) poprzez nadużycie pliku binarnego z ustawionym bitem SUID w urządzeniach Azure-Access BLU-IC2 i BLU-IC4. Oceniona na najwyższy możliwy wynik CVSS 10.0, stanowi krytyczne zagrożenie dla bezpieczeństwa tych urządzeń.

Pokaż oryginał (EN)

Privilege Escalation through SUID-bit Binary.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5 .

🤖 Analiza AI
Jak działa

Błąd dotyczy nieprawidłowego zarządzania uprawnieniami (CWE-269) — konkretnie niewłaściwego użycia bitu SUID (Set User ID) na pliku binarnym systemu. Bit SUID powoduje, że program uruchamia się z uprawnieniami właściciela pliku (najczęściej root), a nie uprawnień użytkownika wywołującego. Atakujący z dostępem do systemu może wykorzystać ten plik binarny do uzyskania podwyższonych uprawnień bez konieczności uwierzytelnienia jako administrator.

Skutki

Atakujący może uzyskać pełne uprawnienia administracyjne (root) na urządzeniu, co umożliwia przejęcie pełnej kontroli nad systemem, modyfikację konfiguracji, dostęp do chronionych danych oraz potencjalnie kompromitację sieci, do której urządzenie jest podłączone.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu wdrożenia poprawki zaleca się ograniczenie fizycznego i sieciowego dostępu do urządzeń wyłącznie do zaufanych użytkowników oraz monitorowanie prób nieautoryzowanego dostępu.

Kogo dotyczy

Azure-Access BLU-IC2 w wersjach do 1.19.5 (włącznie) oraz Azure-Access BLU-IC4 w wersjach do 1.19.5 (włącznie), w tym odpowiednie wersje firmware tych urządzeń.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4