Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu Netis Systems WF2220
08 maja 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-3758
Data publikacji 08 maja 2025
Producent podatnego oprogramowania Netis Systems
Nazwa podatnego oprogramowania WF2220
Podatne wersje 1.2.31706
Typ podatności (CWE) Missing Authentication for Critical Function (CWE-306)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-3759
Data publikacji 08 maja 2025
Producent podatnego oprogramowania Netis Systems
Nazwa podatnego oprogramowania WF2220
Podatne wersje 1.2.31706
Typ podatności (CWE) Missing Authentication for Critical Function (CWE-306)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Netis Systems WF2220 i koordynował proces ujawniania informacji.

Podatność CVE-2025-3758: Urządzenie WF2220 wystawia endpoint /cgi-bin-igd/netcore_get.cgi, który zwraca zawartość pliku konfiguracyjnego nieuwierzytelnionym użytkownikom. Zwracany plik zawiera hasło administratora w postaci jawnej.

Podatność CVE-2025-3759: Endpoint /cgi-bin-igd/netcore_set.cgi, wykorzystywany do zmiany ustawień urządzenia jest dostępny bez uwierzytelnienia. Takie rozwiązanie stwarza zagrożenie pozwalając atakującemu na m.in.: przejęcie konta administratora, zmianę hasła do punktu dostępowego.

Nie otrzymaliśmy odpowiedzi na wiadomości przesłane od producenta, dlatego zgodnie z naszą polityką publikujemy wpisy po 90 dniach od pierwszej próby kontaktu.

Podziękowania

Za zgłoszenie podatności dziękujemy Kamilowi Szczurowskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.