CRITICAL🇬🇧 English

CVE-2025-4320

Obejście uwierzytelnienia i słaby mechanizm odzyskiwania hasła w Sufirmam

CVSS 10.0v3.1pub. 2026-01-23upd. 2026-06-05

Oprogramowanie Sufirmam firmy Birebirsoft Software and Technology Solutions zawiera krytyczną podatność umożliwiającą obejście mechanizmu uwierzytelnienia oraz nadużycie procesu odzyskiwania zapomnianego hasła. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — atakujący nieuwierzytelniony zdalnie może przejąć kontrolę nad systemem.

Pokaż oryginał (EN)

Authentication Bypass by Primary Weakness, Weak Password Recovery Mechanism for Forgotten Password vulnerability in Birebirsoft Software and Technology Solutions Sufirmam allows Authentication Bypass, Password Recovery Exploitation. This issue affects Sufirmam: through 23012026. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

🤖 Analiza AI
Jak działa

Podatność wynika z dwóch powiązanych słabości (CWE-305, CWE-640): błędnej implementacji podstawowego mechanizmu uwierzytelnienia oraz nieskutecznego procesu odzyskiwania hasła. Atakujący może ominąć weryfikację tożsamości bez znajomości prawidłowych danych logowania, a następnie lub alternatywnie wykorzystać wadliwy mechanizm resetowania hasła do przejęcia konta. Obie techniki mogą być stosowane łącznie lub niezależnie.

Skutki

Atakujący zdalny, nieuwierzytelniony może uzyskać pełny dostęp do systemu, co zagraża poufności, integralności oraz dostępności danych — wektor CVSS obejmuje maksymalne oceny we wszystkich trzech kategoriach.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Uwaga: producent nie odpowiedział na zgłoszenie podatności przed jej ujawnieniem. W przypadku braku dostępnej aktualizacji zaleca się izolację systemu od sieci publicznej, ograniczenie dostępu wyłącznie do zaufanych adresów IP oraz wdrożenie dodatkowych mechanizmów uwierzytelnienia (np. reverse proxy z wymogiem uwierzytelnienia).

Kogo dotyczy

Sufirmam firmy Birebirsoft Software and Technology Solutions — wszystkie wersje do 23012026 włącznie.

Uwagi

Producent (Birebirsoft Software and Technology Solutions) został poinformowany o podatności przed publikacją, jednak nie udzielił żadnej odpowiedzi. Podatność opublikowana przez tureckie centrum reagowania na incydenty (USOM/TR-CERT) pod identyfikatorem TR-26-0005.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje