CRITICAL🇬🇧 English

CVE-2025-48749

Netwrix Directory Manager — ujawnienie wrażliwych danych w wysyłanych żądaniach

CVSS 9.1v3.1pub. 2025-05-28upd. 2025-06-18

Netwrix Directory Manager (dawniej Imanami GroupID) w wersji 11.0.0.0 i wcześniejszych oraz po wersji 11.1.25134.03 umieszcza wrażliwe informacje w wysyłanych danych sieciowych. Podatność otrzymała ocenę KRYTYCZNĄ (CVSS 9.1) ze względu na potencjalny wpływ na poufność, integralność i dostępność systemu.

Pokaż oryginał (EN)

Netwrix Directory Manager (formerly Imanami GroupID) v11.0.0.0 and before & after v.11.1.25134.03 inserts Sensitive Information into Sent Data.

🤖 Analiza AI
Jak działa

Zgodnie z klasyfikacją CWE-201 (Insertion of Sensitive Information Into Sent Data), aplikacja nieprawidłowo włącza wrażliwe dane do wysyłanych żądań lub odpowiedzi sieciowych. Atakujący posiadający uprawnienia administracyjne (PR:H) może eksploitować tę podatność zdalnie przez sieć (AV:N) bez interakcji użytkownika. Podatność ma zasięg wykraczający poza kontekst samej aplikacji (S:C), co zwiększa jej krytyczność.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych informacji przetwarzanych przez aplikację, a skuteczna eksploitacja może prowadzić do pełnego naruszenia poufności, integralności oraz dostępności systemu i zasobów wykraczających poza samą aplikację.

Mitygacja

Należy zaktualizować Netwrix Directory Manager do wersji 11.1.25134.03, która według opisu producenta nie jest podatna. Szczegółowe instrukcje dotyczące aktualizacji dostępne są w oficjalnym poradniku bezpieczeństwa producenta pod adresem wskazanym w referencjach (ADV-2025-014).

Kogo dotyczy

Netwrix Directory Manager (dawniej Imanami GroupID) w wersji 11.0.0.0 i wcześniejszych oraz w wersjach po 11.1.25134.03

Uwagi

Podatność jest opisana w poradniku bezpieczeństwa Netwrix o identyfikatorze ADV-2025-014. Wersja 11.1.25134.03 stanowi punkt graniczny — podatne są wersje przed nią (11.0.0.0 i wcześniejsze) oraz wersje po niej, co sugeruje nieciągłość obsługiwanych wydań.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Netwrix Directory Manager

    APP
    Netwrix
    11.0.0.0 – 11.1.25134.03 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-48748CRITICAL10.0PL ✓ten sam produkt

Zakodowane na stałe hasło w Netwrix Directory Manager (CVE-2025-48748)

CVE-2025-54397MEDIUM4.3ten sam produkt

Netwrix Directory Manager (formerly Imanami GroupID) 11.0.0.0 before 11.1.25162.02 inserts Sensitive Informati...

CVE-2025-54394MEDIUM5.3ten sam produkt

Netwrix Directory Manager (formerly Imanami GroupID) 11.0.0.0 before 11.1.25162.02 has Insufficiently Protecte...

CVE-2025-54395MEDIUM6.1ten sam produkt

Netwrix Directory Manager (formerly Imanami GroupID) 11.0.0.0 before 11.1.25162.02 allows XSS for authenticati...

CVE-2025-54396MEDIUM5.4ten sam produkt

Netwrix Directory Manager (formerly Imanami GroupID) 11.0.0.0 before 11.1.25162.02 allows SQL Injection. Authe...