CRITICAL🇬🇧 English

CVE-2025-41652

Auth Bypass przez słabe hashowanie MD5 w mechanizmie autoryzacji urządzenia

CVSS 9.8v3.1pub. 2025-05-27upd. 2026-04-15

Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne ominięcie mechanizmu autoryzacji urządzenia. Krytyczny poziom zagrożenia wynika z możliwości przejęcia kontroli nad urządzeniem bez posiadania prawidłowych danych logowania.

Pokaż oryginał (EN)

The devices are vulnerable to an authentication bypass due to flaws in the authorization mechanism. An unauthenticated remote attacker could exploit this weakness by performing brute-force attacks to guess valid credentials or by using MD5 collision techniques to forge authentication hashes, potentially compromising the device.

🤖 Analiza AI
Jak działa

Mechanizm autoryzacji urządzenia oparty jest na algorytmie MD5 (CWE-328 — użycie słabego algorytmu kryptograficznego), który podatny jest na ataki kolizyjne. Atakujący może wykorzystać dwie drogi: przeprowadzić atak brute-force w celu odgadnięcia prawidłowych danych uwierzytelniających lub zastosować techniki kolizji MD5 do sfałszowania skrótów uwierzytelniających. Obie metody nie wymagają żadnej wcześniejszej autoryzacji ani interakcji ze strony użytkownika, a atak możliwy jest zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do urządzenia, potencjalnie prowadząc do naruszenia poufności, integralności i dostępności systemu — w tym przejęcia pełnej kontroli nad urządzeniem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (advisory VDE-2025-044: https://certvde.com/en/advisories/VDE-2025-044/). Dodatkowo zaleca się ograniczenie dostępu do urządzeń na poziomie sieci (firewall, segmentacja) do czasu wdrożenia poprawki.

Kogo dotyczy

Urządzenia wskazane w referencjach producenta (szczegółowe modele dostępne w advisory VDE-2025-044 na certvde.com)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-41652 — Auth Bypass przez słabe hashowanie MD5 w mechanizmie autoryzacji urządzenia — CRITICAL 9.8 | CVEbaza.pl