CRITICAL🇬🇧 English

CVE-2025-61481

MikroTik RouterOS/SwOS: WebFig dostępny po niezaszyfrowanym HTTP

CVSS 10.0v3.1pub. 2025-10-27upd. 2026-04-15

MikroTik RouterOS v.7.14.2 oraz SwOS v.2.18 domyślnie udostępniają interfejs zarządzania WebFig przez niezaszyfrowany protokół HTTP, co umożliwia atakującemu znajdującemu się na ścieżce sieciowej przechwycenie danych uwierzytelniających oraz wykonanie wstrzykniętego kodu JavaScript w przeglądarce administratora. Podatność posiada najwyższy możliwy wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej sieci korzystającej z urządzeń MikroTik.

Pokaż oryginał (EN)

An issue in MikroTik RouterOS v.7.14.2 and SwOS v.2.18 exposes the WebFig management interface over cleartext HTTP by default, allowing an on-path attacker to execute injected JavaScript in the administrator’s browser and intercept credentials.

🤖 Analiza AI
Jak działa

Interfejs WebFig, służący do zarządzania urządzeniami MikroTik przez przeglądarkę, domyślnie działa na niezaszyfrowanym protokole HTTP zamiast HTTPS. Atakujący znajdujący się na ścieżce komunikacji (on-path attacker, np. w tej samej sieci LAN lub na trasie routingu) może przechwytywać ruch w postaci jawnego tekstu (cleartext). Brak szyfrowania umożliwia zarówno pasywne podsłuchiwanie transmisji (kradzież danych logowania), jak i aktywne wstrzyknięcie złośliwego kodu JavaScript do odpowiedzi HTTP serwera, który zostanie następnie wykonany w przeglądarce zalogowanego administratora.

Skutki

Atakujący może przejąć dane uwierzytelniające administratora urządzenia MikroTik oraz wykonać dowolny kod JavaScript w jego przeglądarce (XSS), co w praktyce oznacza możliwość pełnego przejęcia kontroli nad urządzeniem sieciowym i potencjalnie całą zarządzaną infrastrukturą.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia aktualizacji zaleca się: wyłączenie dostępu do interfejsu WebFig przez HTTP i wymuszenie HTTPS (jeśli opcja jest dostępna), ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych adresów IP za pomocą firewall, oraz korzystanie z alternatywnych, szyfrowanych metod zarządzania (np. SSH, Winbox przez VPN).

Kogo dotyczy

MikroTik RouterOS v.7.14.2 oraz MikroTik SwOS v.2.18 — urządzenia z domyślnie włączonym interfejsem WebFig dostępnym przez HTTP

Uwagi

Podatność opisana i opublikowana pod adresem https://svarthatt.se/cve/mikrotik-swos-cve-2025-61481/ — wskazuje to na zewnętrznego badacza bezpieczeństwa jako odkrywcę. CWE-1188 odnosi się do domyślnie niebezpiecznej konfiguracji (insecure default initialization), co potwierdza, że problem wynika z błędnych ustawień domyślnych producenta, a nie błędu w kodzie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-61481 — MikroTik RouterOS/SwOS: WebFig dostępny po niezaszyfrowanym HTTP — CRITICAL 10.0 | CVEbaza.pl