Podatność w oprogramowaniu Elber REBLE310 Firmware v5.5.1.R umożliwia atakującemu przeprowadzenie ataku session hijacking. Krytyczny poziom zagrożenia wynika z braku konieczności uwierzytelnienia oraz możliwości pełnego przejęcia kontroli nad urządzeniem.
▸ Pokaż oryginał (EN)
Improper session management in Elber REBLE310 Firmware v5.5.1.R , Equipment Model: REBLE310/RX10/4ASI allows attackers to execute a session hijacking attack.
Nieprawidłowe zarządzanie sesją (CWE-384) w urządzeniu Elber REBLE310 pozwala atakującemu na przejęcie aktywnej sesji uwierzytelnionego użytkownika. Atak jest możliwy zdalnie, bez uwierzytelnienia i bez interakcji ze strony ofiary. Wykorzystując przejętą sesję, atakujący uzyskuje dostęp do funkcji i danych dostępnych dla zalogowanego użytkownika.
Atakujący może całkowicie przejąć sesję uwierzytelnionego użytkownika, co skutkuje nieautoryzowanym dostępem do poufnych danych, możliwością modyfikacji konfiguracji urządzenia oraz potencjalnym zakłóceniem jego działania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do interfejsu zarządzania urządzenia oraz monitorowanie aktywnych sesji.
Elber REBLE310 Firmware v5.5.1.R, model urządzenia: REBLE310/RX10/4ASI
Informacje o podatności zostały opublikowane w repozytorium badacza bezpieczeństwa pod adresem https://github.com/shiky8/my--cve-vulnerability-research/tree/main/CVE-2025-28238.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H