CRITICAL🇬🇧 English

CVE-2025-54863

Radiometrics VizAir — ujawnienie klucza API REST w pliku konfiguracyjnym

CVSS 10.0v4.0pub. 2025-11-04upd. 2025-11-12

Radiometrics VizAir ujawnia klucz API REST systemu w publicznie dostępnym pliku konfiguracyjnym, co umożliwia nieautoryzowanym atakującym zdalny dostęp do systemu bez żadnego uwierzytelnienia. Podatność jest krytyczna, ponieważ dotyczy systemów monitorowania pogody lotniczej stosowanych na lotniskach, a jej wykorzystanie może bezpośrednio wpłynąć na bezpieczeństwo operacji lotniczych.

Pokaż oryginał (EN)

Radiometrics VizAir is vulnerable to exposure of the system's REST API key through a publicly accessible configuration file. This allows attackers to remotely alter weather data and configurations, automate attacks against multiple instances, and extract sensitive meteorological data, which could potentially compromise airport operations. Additionally, attackers could flood the system with false alerts, leading to a denial-of-service condition and significant disruption to airport operations. Unauthorized remote control over aviation weather monitoring and data manipulation could result in incorrect flight planning and hazardous takeoff and landing conditions.

🤖 Analiza AI
Jak działa

Klucz API REST, który powinien być chroniony jako sekret uwierzytelniający, jest przechowywany w pliku konfiguracyjnym dostępnym publicznie bez wymagania jakiegokolwiek uwierzytelnienia. Atakujący uzyskując ten klucz, może w pełni korzystać z interfejsu REST API systemu, jakby był uprawnionym użytkownikiem. Umożliwia to zdalne modyfikowanie danych pogodowych i konfiguracji systemu, ekstrakcję wrażliwych danych meteorologicznych, zalewanie systemu fałszywymi alertami (prowadząc do stanu denial-of-service) oraz automatyzację ataków na wiele jednocześnie działających instancji VizAir.

Skutki

Atakujący może zdalnie manipulować danymi pogodowymi i konfiguracją systemu, co może prowadzić do błędnego planowania lotów oraz stworzenia niebezpiecznych warunków podczas startów i lądowań. Możliwe jest również wywołanie zakłóceń operacyjnych lotniska poprzez zalanie systemu fałszywymi alertami pogodowymi (denial-of-service) oraz kradzież wrażliwych danych meteorologicznych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowe zalecenia dotyczące zabezpieczeń środowiska OT/ICS mogą znajdować się w poradniku CISA dostępnym pod adresem: https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04. W ramach działań doraźnych należy rozważyć izolację systemu od sieci publicznej, wdrożenie reguł firewall ograniczających dostęp do pliku konfiguracyjnego oraz natychmiastową rotację klucza API.

Kogo dotyczy

Radiometrics VizAir — wersje wskazane w referencjach producenta (poradnik CISA ICSA-25-308-04)

Uwagi

Podatność dotyczy systemów ICS/OT stosowanych w infrastrukturze krytycznej — monitoringu pogody lotniczej na lotniskach. Poradnik bezpieczeństwa został opublikowany przez CISA jako ICSA-25-308-04.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Radiometrics Vizair

    APP
    Radiometrics
    < 2025-08
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-61945CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w panelu admina Radiometrics VizAir

CVE-2025-61956CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia dla krytycznych funkcji w Radiometrics VizAir