CRITICAL🇬🇧 English

CVE-2025-12516

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4

CVSS 10.0v4.0pub. 2025-10-30upd. 2025-11-10

Podatność w urządzeniach Azure-Access BLU-IC2 oraz BLU-IC4 polega na braku właściwej obsługi błędów HTTP 5xx (CWE-394). Oceniona jako krytyczna z maksymalnym wynikiem CVSS 10.0, może umożliwić atakującemu zdalne naruszenie poufności, integralności i dostępności systemu oraz połączonych z nim zasobów.

Pokaż oryginał (EN)

Lack of Graceful Error Handling - HTTP 5xx ErrorThis issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5 .

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej lub całkowicie nieobecnej obsługi błędów po stronie serwera HTTP wbudowanego w firmware urządzeń BLU-IC2 i BLU-IC4. Zgodnie z CWE-394, brak graceful error handling oznacza, że aplikacja nie reaguje poprawnie na warunki błędów klasy 5xx, co może prowadzić do nieoczekiwanych stanów urządzenia lub ujawnienia wrażliwych informacji. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni podatność trywialną do wykorzystania zdalnie.

Skutki

Atakujący bez żadnych uprawnień, działający zdalnie przez sieć, może naruszyć poufność, integralność i dostępność zarówno atakowanego urządzenia, jak i systemów z nim powiązanych, potencjalnie uzyskując pełną kontrolę nad infrastrukturą dostępu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji firmware zaleca się ograniczenie dostępu sieciowego do urządzeń BLU-IC2 i BLU-IC4 wyłącznie do zaufanych hostów oraz segmentację sieci.

Kogo dotyczy

Azure-Access BLU-IC2 z firmware w wersji do 1.19.5 włącznie oraz Azure-Access BLU-IC4 z firmware w wersji do 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12515CRITICAL10.0PL ✓ten sam produkt

Systemiczne błędy wewnętrzne serwera (HTTP 500) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12516 — Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4 — CRITICAL 10.0 | CVEbaza.pl