CVE-2025-54122
CriticalSummary
W oprogramowaniu Manager-io/Manager zidentyfikowano krytyczną podatność typu Server-Side Request Forgery (SSRF), która pozwala nieautoryzowanemu atakującemu na pełny odczyt danych. Dotyczy to komponentu proxy w wersjach Desktop i Server do 25.7.18.2519 włącznie.
Risk Assessment
Podatność ta umożliwia obejście izolacji sieci oraz ograniczeń dostępu, co może prowadzić do uzyskania dostępu do wewnętrznych usług oraz wycieku wrażliwych danych z izolowanych segmentów sieci.
Recommendation
Zaleca się aktualizację oprogramowania do wersji 25.7.21.2525, w której ta podatność została naprawiona.
Original NVD description (English source)
Manager-io/Manager is accounting software. A critical unauthenticated full read Server-Side Request Forgery (SSRF) vulnerability has been identified in the proxy handler component of both manager Desktop and Server edition versions up to and including 25.7.18.2519. This vulnerability allows an unauthenticated attacker to bypass network isolation and access restrictions, potentially enabling access to internal services, cloud metadata endpoints, and exfiltration of sensitive data from isolated network segments. This vulnerability is fixed in version 25.7.21.2525.

