CRITICAL🇬🇧 English

CVE-2025-63362

Waveshare RS232/485 TO WIFI ETH (B) — pominięcie uwierzytelnienia przez puste hasło

CVSS 9.8v3.1pub. 2025-12-04upd. 2025-12-15

Firmware bramy szeregowej Waveshare RS232/485 TO WIFI ETH (B) umożliwia ustawienie pustej nazwy użytkownika i pustego hasła administratora, co pozwala atakującemu na całkowite ominięcie mechanizmu uwierzytelnienia. Podatność ma ocenę CVSS 9.8 (CRITICAL) i jest dostępna zdalnie bez żadnych uprawnień wstępnych.

Pokaż oryginał (EN)

Waveshare RS232/485 TO WIFI ETH (B) Serial to Ethernet/Wi-Fi Gateway Firmware V3.1.1.0: HW 4.3.2.1: Webpage V7.04T.07.002880.0301 allows attackers to set the Administrator password and username as blank values, allowing attackers to bypass authentication.

🤖 Analiza AI
Jak działa

Interfejs webowy urządzenia (strona konfiguracyjna) nie weryfikuje poprawności wprowadzanych danych uwierzytelniających — dopuszcza ustawienie pustych wartości pola nazwy użytkownika oraz hasła administratora (CWE-620: Unverified Password Change). Atakujący może celowo wyzerować dane logowania, a następnie uzyskać dostęp do panelu administracyjnego bez podawania jakichkolwiek poświadczeń. Atak nie wymaga interakcji użytkownika ani wcześniejszego uwierzytelnienia i może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do urządzenia, co umożliwia zmianę konfiguracji sieci i transmisji danych szeregowych, potencjalne przejęcie kontroli nad podłączonymi urządzeniami OT/ICS oraz naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się izolację urządzenia od niezaufanych sieci (segmentacja sieci, firewall), a dostęp do interfejsu webowego należy ograniczyć wyłącznie do zaufanych hostów lub sieci zarządzania.

Kogo dotyczy

Waveshare RS232/485 TO WIFI ETH (B) z oprogramowaniem firmware V3.1.1.0, hardware w wersji 4.3.2.1 oraz interfejsem webowym Webpage V7.04T.07.002880.0301

Uwagi

Podatność dotyczy urządzeń klasy OT (konwertery szeregowo-sieciowe), które są powszechnie stosowane w środowiskach przemysłowych i infrastrukturalnych — ryzyko naruszenia środowisk ICS/SCADA jest podwyższone.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Waveshare Rs232\/485 To Wifi Eth \(b\)

    HW
    Waveshare
    4.3.2.1
  • Waveshare Rs232\/485 To Wifi Eth \(b\) Firmware

    OS
    Waveshare
    3.1.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-63363HIGH7.5ten sam produkt

A lack of Management Frame Protection in Waveshare RS232/485 TO WIFI ETH (B) Serial to Ethernet/Wi-Fi Gateway ...

CVE-2025-63364HIGH7.5ten sam produkt

Waveshare RS232/485 TO WIFI ETH (B) Serial to Ethernet/Wi-Fi Gateway Firmware V3.1.1.0: HW 4.3.2.1: Webpage V7...

CVE-2025-63361MEDIUM5.7ten sam produkt

Waveshare RS232/485 TO WIFI ETH (B) Serial to Ethernet/Wi-Fi Gateway Firmware V3.1.1.0: HW 4.3.2.1: Webpage V7...

CVE-2025-63362 — Waveshare RS232/485 TO WIFI ETH (B) — pominięcie uwierzytelnienia przez puste hasło — CRITICAL 9.8 | CVEbaza.pl