CRITICAL✓ PATCH🇬🇧 English

CVE-2025-55187

DriveLock — privilege escalation umożliwiające przejęcie kontroli nad systemem

CVSS 9.9v3.1pub. 2025-09-26upd. 2025-10-08

W oprogramowaniu DriveLock w wersjach 24.1.4, 24.2.5 oraz 25.1.2 istnieje krytyczna podatność klasy privilege escalation (CWE-269), pozwalająca uwierzytelnionemu atakującemu na uzyskanie podwyższonych uprawnień. Wysoki wynik CVSS 9.9 oraz zakres ataku obejmujący inne komponenty systemu czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

In DriveLock 24.1.4 before 24.1.5, 24.2.5 before 24.2.6, and 25.1.2 before 25.1.4, attackers can gain elevated privileges.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego zarządzania uprawnieniami (CWE-269) w oprogramowaniu DriveLock. Atakujący posiadający jedynie podstawowe uprawnienia użytkownika (PR:L) może za pośrednictwem sieci (AV:N), bez interakcji ofiary (UI:N), doprowadzić do eskalacji swoich uprawnień. Wektor CVSS wskazuje na zmianę zakresu (S:C), co oznacza, że skutki ataku mogą wychodzić poza bezpośrednio atakowany komponent i wpływać na inne części infrastruktury.

Skutki

Atakujący może uzyskać podwyższone uprawnienia, co prowadzi do pełnego naruszenia poufności, integralności i dostępności systemu (C:H, I:H, A:H). W praktyce może to oznaczać przejęcie pełnej kontroli nad systemem, modyfikację konfiguracji zabezpieczeń lub uzyskanie dostępu do chronionych zasobów.

Mitygacja

Należy zaktualizować DriveLock do wersji 24.1.5, 24.2.6 lub 25.1.4 odpowiednio dla używanej gałęzi produktu. Szczegóły dostępne w oficjalnych notach bezpieczeństwa producenta (Security Bulletin 25-001) pod adresami wskazanymi w referencjach.

Kogo dotyczy

DriveLock w wersjach: 24.1.4 (przed 24.1.5), 24.2.5 (przed 24.2.6) oraz 25.1.2 (przed 25.1.4)

Uwagi

Producent opublikował dedykowany biuletyn bezpieczeństwa o oznaczeniu 25-001-RemotePrivilege, dostępny w dokumentacji DriveLock dla wersji 2025.1 oraz w gałęzi 'current'.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Drivelock

    APP
    Drivelock
    24.1.424.2.525.1.2
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-67781CRITICAL9.9PL ✓ten sam produkt

DriveLock — eskalacja uprawnień przez manipulację procesami uprzywilejowanymi

CVE-2025-67787CRITICAL9.6PL ✓ten sam produkt

XSS w DriveLock Operations Center umożliwiający przejęcie sesji

CVE-2025-67791CRITICAL9.8PL ✓ten sam produkt

DriveLock — obejście uwierzytelniania agenta (Auth Bypass) w DES

CVE-2025-67793CRITICAL9.8PL ✓ten sam produkt

DriveLock — nieautoryzowana eskalacja uprawnień do roli Supervisor przez API

CVE-2025-67792HIGH7.8ten sam produkt

An issue was discovered in DriveLock 24.1 before 24.1.6, 24.2 before 24.2.7, and 25.1 before 25.1.5. Local unp...