CVE-2025-41765
CriticalSummary
Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupload.cgi do przesyłania i stosowania dowolnych danych. Może to obejmować m.in. obrazy kontaktów, certyfikaty HTTPS, kopie zapasowe systemu, konfiguracje serwera oraz certyfikaty i klucze BACnet/SC.
Risk Assessment
Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do wrażliwych danych oraz możliwość wprowadzenia złośliwego oprogramowania lub nieautoryzowanych zmian w systemie. To może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Recommendation
Zaleca się wdrożenie odpowiednich mechanizmów autoryzacji dla punktu końcowego wwwupload.cgi oraz regularne audyty bezpieczeństwa, aby zminimalizować ryzyko wykorzystania tej podatności.
Original NVD description (English source)
Due to insufficient authorization enforcement, an unauthorized remote attacker can exploit the wwwupload.cgi endpoint to upload and apply arbitrary data. This includes, but is not limited to, contact images, HTTPS certificates, system backups for restoration, server peer configurations, and BACnet/SC server certificates and keys.

