CRITICAL🇬🇧 English

CVE-2025-12600

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVSS 10.0v4.0pub. 2025-11-01upd. 2025-11-10

Podatność w interfejsie Web UI urządzeń Azure-Access BLU-IC2 i BLU-IC4 umożliwia wywołanie nieprawidłowego działania systemu poprzez ustawienie nieoczekiwanej wartości locale za pośrednictwem API. Podatność otrzymała maksymalną ocenę CVSS 10.0, co wskazuje na możliwość poważnych konsekwencji bez wymogu uwierzytelnienia.

Pokaż oryginał (EN)

Web UI Malfunction when setting unexpected locale via API.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Atakujący zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, wysyła do interfejsu API urządzenia żądanie zawierające nieoczekiwaną wartość parametru locale. Powoduje to nieprawidłowe działanie (malfunction) interfejsu Web UI urządzenia. Wektor ataku sieciowy i brak jakichkolwiek wymagań wstępnych sprawiają, że podatność jest trywialnie eksploitowalna z dowolnej lokalizacji sieciowej. CWE-730 wskazuje na możliwy problem z wyrażeniami regularnymi podatnymi na catastrophic backtracking lub podobny mechanizm przetwarzania danych wejściowych.

Skutki

Atakujący może doprowadzić do poważnego zaburzenia działania interfejsu Web UI urządzenia, potencjalnie skutkując utratą dostępności, integralności i poufności zarówno samego urządzenia, jak i systemów z nim powiązanych — zgodnie z maksymalnymi wartościami wektora CVSS 4.0.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu Web UI i API urządzeń wyłącznie do zaufanych hostów oraz segmentację sieciową.

Kogo dotyczy

Azure-Access BLU-IC2 we wszystkich wersjach firmware do 1.19.5 włącznie oraz Azure-Access BLU-IC4 we wszystkich wersjach firmware do 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12515CRITICAL10.0PL ✓ten sam produkt

Systemiczne błędy wewnętrzne serwera (HTTP 500) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12600 — Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4 — CRITICAL 10.0 | CVEbaza.pl