CRITICAL✓ PATCH🇬🇧 English

CVE-2025-56513

RCE przez niezabezpieczony mechanizm aktualizacji w NiceHash QuickMiner

CVSS 9.8v3.1pub. 2025-09-30upd. 2026-05-11

NiceHash QuickMiner 6.12.0 miałby pobierać aktualizacje oprogramowania przez HTTP bez weryfikacji podpisów cyfrowych ani sum kontrolnych, co umożliwiałoby atakującemu podmianę pliku aktualizacji na dowolny kod wykonywalny. Warto jednak odnotować, że producent (NiceHash) zaprzecza istnieniu takiego mechanizmu HTTP i kwestionuje prawdziwość opisanego wektora ataku.

Pokaż oryginał (EN)

NiceHash QuickMiner 6.12.0 perform software updates over HTTP without validating digital signatures or hash checks. An attacker capable of intercepting or redirecting traffic to the update url and can hijack the update process and deliver arbitrary executables that are automatically executed, resulting in full remote code execution. This constitutes a critical supply chain attack vector. NOTE: the Supplier reports that the existence of an http://update.nicehash.com URL is a fabrication, and that there is no other use of HTTP (rather than HTTPS).

🤖 Analiza AI
Jak działa

Według zgłoszenia podatności, mechanizm automatycznej aktualizacji aplikacji korzysta z niezaszyfrowanego protokołu HTTP, co pozwala atakującemu znajdującemu się na ścieżce sieciowej (man-in-the-middle) na przechwycenie lub przekierowanie ruchu do adresu URL aktualizacji. Brak weryfikacji podpisu cyfrowego ani sumy kontrolnej pobranego pliku oznacza, że podmieniony plik wykonywalny zostałby zainstalowany i uruchomiony automatycznie bez jakiejkolwiek kontroli integralności. Skutkowałoby to pełnym wykonaniem dowolnego kodu (RCE) na maszynie użytkownika bez jego interakcji (zero-click). Producent w notatce do CVE zaprzecza jednak, jakoby adres http://update.nicehash.com w ogóle istniał oraz twierdzi, że aplikacja nie używa HTTP zamiast HTTPS.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem ofiary poprzez wykonanie dowolnego kodu z uprawnieniami procesu aktualizatora, co potencjalnie umożliwia instalację złośliwego oprogramowania, kradzież danych lub przejęcie zasobów obliczeniowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na sprzeciw producenta wobec opisanego wektora ataku, zaleca się weryfikację u dostawcy (NiceHash), czy stosowana wersja oprogramowania rzeczywiście korzysta wyłącznie z HTTPS do pobierania aktualizacji. Do czasu wyjaśnienia sporu zaleca się monitorowanie ruchu sieciowego generowanego przez aplikację.

Kogo dotyczy

NiceHash QuickMiner w wersji 6.12.0 (zgodnie z opisem zgłoszenia; producent kwestionuje opisany wektor ataku)

Uwagi

Producent NiceHash formalnie zakwestionował ustalenia zgłoszenia, twierdząc że adres http://update.nicehash.com jest wymysłem autora i że aplikacja nie używa niezaszyfrowanego HTTP do aktualizacji. Podatność została opublikowana przez badacza na platformie Medium. Rozbieżność między twierdzeniami zgłaszającego a stanowiskiem producenta powoduje istotną niepewność co do faktycznej eksploatowalności opisanego wektora.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Nicehash Quickminer

    APP
    Nicehash
    6.12.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2019-6120HIGH7.5ten sam vendor

An issue was discovered in NiceHash Miner before 2.0.3.0. A missing rate limit while adding a wallet via Email...

CVE-2019-6121LOW3.7ten sam vendor

An issue was discovered in NiceHash Miner before 2.0.3.0. Missing Authorization allows an adversary to can gai...

CVE-2019-6122LOW3.1ten sam vendor

A Username Enumeration via Error Message issue was discovered in NiceHash Miner before 2.0.3.0 because an "EMA...