CVE ID | CVE-2025-3758 |
Data publikacji | 08 maja 2025 |
Producent podatnego oprogramowania | Netis Systems |
Nazwa podatnego oprogramowania | WF2220 |
Podatne wersje | 1.2.31706 |
Typ podatności (CWE) | Missing Authentication for Critical Function (CWE-306) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2025-3759 |
Data publikacji | 08 maja 2025 |
Producent podatnego oprogramowania | Netis Systems |
Nazwa podatnego oprogramowania | WF2220 |
Podatne wersje | 1.2.31706 |
Typ podatności (CWE) | Missing Authentication for Critical Function (CWE-306) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Netis Systems WF2220 i koordynował proces ujawniania informacji.
Podatność CVE-2025-3758: Urządzenie WF2220 wystawia endpoint /cgi-bin-igd/netcore_get.cgi
, który zwraca zawartość pliku konfiguracyjnego nieuwierzytelnionym użytkownikom. Zwracany plik zawiera hasło administratora w postaci jawnej.
Podatność CVE-2025-3759: Endpoint /cgi-bin-igd/netcore_set.cgi
, wykorzystywany do zmiany ustawień urządzenia jest dostępny bez uwierzytelnienia. Takie rozwiązanie stwarza zagrożenie pozwalając atakującemu na m.in.: przejęcie konta administratora, zmianę hasła do punktu dostępowego.
Nie otrzymaliśmy odpowiedzi na wiadomości przesłane od producenta, dlatego zgodnie z naszą polityką publikujemy wpisy po 90 dniach od pierwszej próby kontaktu.
Podziękowania
Za zgłoszenie podatności dziękujemy Kamilowi Szczurowskiemu.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.