CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-52352

Critical
Published: Translated: NVD NIST

Summary

Platforma zarządzania IoT Aikaan w wersji v3.25.0325-5-g2e9c59796 umożliwia wyłączenie rejestracji użytkowników w rozproszonych wdrożeniach poprzez ukrycie opcji rejestracji na stronie logowania. Mimo to, punkt końcowy API do rejestracji pozostaje publicznie dostępny, co pozwala nieautoryzowanym użytkownikom na tworzenie kont nawet przy wyłączonej funkcji.

Risk Assessment

To prowadzi do obejścia mechanizmów uwierzytelniania i nieautoryzowanego dostępu do portali administracyjnych, co narusza zamierzone kontrole dostępu i może prowadzić do poważnych incydentów bezpieczeństwa.

Recommendation

Zaleca się zabezpieczenie punktu końcowego API rejestracji, aby uniemożliwić dostęp nieautoryzowanym użytkownikom, nawet gdy funkcja rejestracji jest wyłączona.

Original NVD description (English source)

Aikaan IoT management platform v3.25.0325-5-g2e9c59796 provides a configuration to disable user sign-up in distributed deployments by hiding the sign-up option on the login page UI. However, the sign-up API endpoint remains publicly accessible and functional, allowing unauthenticated users to register accounts via APIs even when the feature is disabled. This leads to authentication bypass and unauthorized access to admin portals, violating intended access controls.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS