CRITICAL🇬🇧 English

CVE-2025-64180

SSRF via TOCTOU w Manager Desktop/Server — dostęp do zasobów wewnętrznych

CVSS 10.0v3.1pub. 2025-11-07upd. 2026-04-15

Krytyczna podatność w oprogramowaniu księgowym Manager (Desktop i Server) umożliwia nieuwierzytelniony lub nisko-uprawniony dostęp do wewnętrznych zasobów sieciowych poprzez obejście mechanizmu walidacji DNS. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

Manager-io/Manager is accounting software. In Manager Desktop and Server versions 25.11.1.3085 and below, a critical vulnerability permits unauthorized access to internal network resources. The flaw lies in the fundamental design of the DNS validation mechanism. A Time-of-Check Time-of-Use (TOCTOU) condition that allows attackers to bypass network isolation and access internal services, cloud metadata endpoints, and protected network segments. The Desktop edition requires no authentication; the Server edition requires only standard authentication. This issue is fixed in version 25.11.1.3086.

🤖 Analiza AI
Jak działa

Błąd tkwi w mechanizmie walidacji DNS, który jest podatny na atak typu Time-of-Check Time-of-Use (TOCTOU) — klasyczny race condition. Atakujący może manipulować odpowiedzią DNS pomiędzy momentem weryfikacji adresu a momentem nawiązania połączenia, co pozwala na ominięcie izolacji sieciowej (SSRF). W efekcie możliwy jest dostęp do wewnętrznych usług sieciowych, punktów końcowych metadanych chmurowych (np. cloud metadata endpoints) oraz chronionych segmentów sieci. Wersja Desktop nie wymaga żadnego uwierzytelnienia; wersja Server wymaga jedynie standardowego uwierzytelnienia.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wewnętrznych zasobów sieciowych, chronionych segmentów sieci oraz wrażliwych punktów końcowych metadanych chmurowych, co może prowadzić do ujawnienia poufnych danych, eskalacji uprawnień lub dalszego przejęcia infrastruktury.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie Manager do wersji 25.11.1.3086, w której błąd został naprawiony. Szczegóły dostępne w referencjach producenta (GitHub Security Advisory).

Kogo dotyczy

Manager Desktop i Manager Server w wersjach 25.11.1.3085 i wcześniejszych

Uwagi

Podatność dotyczy wersji Desktop bez jakiegokolwiek wymogu uwierzytelnienia (PR:N, UI:N), co znacząco obniża próg wejścia dla atakującego. Wektor CVSS wskazuje na pełny zakres wpływu (C:H/I:H/A:H) z efektem wykraczającym poza atakowany system (S:C).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Race Condition
CWE
Referencje