CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-67304

Critical
Published: Translated: NVD NIST

Summary

W Ruckus Network Director (RND) w wersjach poniżej 4.5.0.54, urządzenie OVA zawiera zakodowane na stałe dane uwierzytelniające dla użytkownika bazy danych PostgreSQL. W domyślnej konfiguracji usługa PostgreSQL jest dostępna w sieci na porcie TCP 5432.

Risk Assessment

Atakujący może wykorzystać te zakodowane dane uwierzytelniające do zdalnej autoryzacji, uzyskując dostęp superużytkownika do bazy danych. To stwarza poważne zagrożenie dla bezpieczeństwa, umożliwiając tworzenie użytkowników administracyjnych oraz wykonywanie dowolnych poleceń systemowych.

Recommendation

Zaleca się aktualizację Ruckus Network Director do wersji 4.5.0.54 lub nowszej oraz zabezpieczenie dostępu do usługi PostgreSQL, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Original NVD description (English source)

In Ruckus Network Director (RND) < 4.5.0.54, the OVA appliance contains hardcoded credentials for the ruckus PostgreSQL database user. In the default configuration, the PostgreSQL service is accessible over the network on TCP port 5432. An attacker can use the hardcoded credentials to authenticate remotely, gaining superuser access to the database. This allows creation of administrative users for the web interface, extraction of password hashes, and execution of arbitrary OS commands.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS