CRITICAL🇬🇧 English

CVE-2025-47699

Gallagher Command Centre — nieautoryzowane zmiany w urządzeniach Morpho

CVSS 9.9v3.1pub. 2025-10-23upd. 2026-04-15

Podatność w integracji Gallagher Morpho pozwala uwierzytelnionemu operatorowi z ograniczonymi uprawnieniami na dokonywanie krytycznych zmian w lokalnych urządzeniach Morpho. Oceniona jako CRITICAL (CVSS 9.9), stanowi poważne zagrożenie dla integralności systemu kontroli dostępu.

Pokaż oryginał (EN)

Exposure of Sensitive System Information to an Unauthorized Control Sphere (CWE-497) in the Gallagher Morpho integration could allow an authenticated operator with limited site permissions to make critical changes to local Morpho devices. This issue affects Command Centre Server: 9.30 prior to vEL9.30.2482 (MR2), 9.20 prior to vEL9.20.2819 (MR4), 9.10 prior to vEL9.10.3672 (MR7), 9.00 prior to vEL9.00.3831 (MR8), all versions of 8.90 and prior.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-497 (Exposure of Sensitive System Information to an Unauthorized Control Sphere) powoduje, że wrażliwe informacje systemowe lub funkcje zarządzania są dostępne poza przewidzianą strefą kontroli. Uwierzytelniony operator posiadający jedynie ograniczone uprawnienia do lokalizacji jest w stanie wyjść poza przyznany mu zakres dostępu i wykonywać krytyczne operacje konfiguracyjne na urządzeniach Morpho podłączonych do systemu Command Centre. Mechanizm autoryzacji nie egzekwuje właściwie granic uprawnień w kontekście tej integracji.

Skutki

Atakujący może dokonywać nieautoryzowanych, krytycznych zmian w lokalnych urządzeniach biometrycznych Morpho, co może prowadzić do naruszenia poufności, integralności i dostępności systemu kontroli dostępu — w tym potencjalnie do nieautoryzowanego przyznawania lub cofania dostępu fizycznego.

Mitygacja

Należy zaktualizować Gallagher Command Centre Server do następujących wersji zawierających poprawki: vEL9.30.2482 (MR2) lub nowszej dla gałęzi 9.30, vEL9.20.2819 (MR4) lub nowszej dla gałęzi 9.20, vEL9.10.3672 (MR7) lub nowszej dla gałęzi 9.10, vEL9.00.3831 (MR8) lub nowszej dla gałęzi 9.00. Dla wersji 8.90 i wcześniejszych zalecana jest migracja do wspieranej gałęzi. Szczegóły dostępne w poradniku producenta pod adresem wskazanym w referencjach.

Kogo dotyczy

Gallagher Command Centre Server w wersjach: 9.30 przed vEL9.30.2482 (MR2), 9.20 przed vEL9.20.2819 (MR4), 9.10 przed vEL9.10.3672 (MR7), 9.00 przed vEL9.00.3831 (MR8), oraz wszystkie wersje 8.90 i wcześniejsze.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje