Twonky Server 8.5.2 na systemach Linux i Windows zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu obejście mechanizmów kontroli dostępu do API serwisu webowego. Skutkuje to wyciekiem pliku dziennika zawierającego nazwę użytkownika oraz zaszyfrowane hasło administratora.
▸ Pokaż oryginał (EN)
Twonky Server 8.5.2 on Linux and Windows is vulnerable to an access control flaw. An unauthenticated attacker can bypass web service API authentication controls to leak a log file and read the administrator's username and encrypted password.
Podatność wynika z błędu w kontroli dostępu (CWE-420 – niekompletna lub pomijana ścieżka uwierzytelniania) w interfejsie API serwisu webowego Twonky Server. Atakujący bez żadnych poświadczeń może wysłać odpowiednio spreparowane żądanie do API i ominąć wymagane mechanizmy uwierzytelniania. W wyniku tego możliwe jest pobranie pliku dziennika (log file), który zawiera wrażliwe dane – nazwę użytkownika administratora oraz jego zaszyfrowane hasło. Uzyskane dane mogą posłużyć do dalszych ataków, np. prób złamania hasła.
Atakujący może bez uwierzytelniania uzyskać dostęp do pliku dziennika aplikacji i odczytać z niego nazwę konta oraz zaszyfrowane hasło administratora, co może prowadzić do pełnego przejęcia konta administracyjnego.
Zgodnie z informacją zawartą w referencjach producenta podatność nie została naprawiona (not fixed). Należy monitorować stronę producenta (Lynx Technology) pod kątem wydania patcha oraz śledzić publikacje dostępne pod wskazanym adresem Rapid7. Do czasu wydania poprawki zaleca się ograniczenie dostępu sieciowego do interfejsu webowego Twonky Server wyłącznie do zaufanych hostów (np. za pomocą firewall lub reguł sieciowych) oraz unikanie eksponowania usługi na publiczne interfejsy sieciowe.
Twonky Server w wersji 8.5.2 działający na systemach Linux oraz Windows.
Zgodnie z referencją Rapid7 (CVE-2025-13315 oraz CVE-2025-13316) podatność nie posiada dostępnego patcha od producenta (status: not fixed) według stanu na datę publikacji.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLinux Kernel
OSLinuxwszystkie wersjeLynxtechnology Twonky Server
APPLynxtechnology8.5.2Microsoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit