CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-68717

Critical
Published: Translated: NVD NIST

Summary

Routery KAYSUS KS-WR3600 z oprogramowaniem układowym 1.0.5.9.1 umożliwiają obejście uwierzytelniania podczas walidacji sesji. W przypadku, gdy jakikolwiek użytkownik jest zalogowany, punkty końcowe, takie jak /cgi-bin/system-tool, akceptują nieautoryzowane żądania z pustymi lub nieprawidłowymi wartościami sesji.

Risk Assessment

Ta wada konstrukcyjna pozwala atakującym na wykorzystanie aktywnej sesji innego użytkownika, co może prowadzić do ujawnienia wrażliwych danych konfiguracyjnych lub wykonania uprzywilejowanych działań bez uwierzytelnienia.

Recommendation

Zaleca się aktualizację oprogramowania układowego routerów do najnowszej wersji, aby usunąć tę lukę oraz wdrożenie dodatkowych mechanizmów zabezpieczających sesje użytkowników.

Original NVD description (English source)

KAYSUS KS-WR3600 routers with firmware 1.0.5.9.1 allow authentication bypass during session validation. If any user is logged in, endpoints such as /cgi-bin/system-tool accept unauthenticated requests with empty or invalid session values. This design flaw lets attackers piggyback on another user's active session to retrieve sensitive configuration data or execute privileged actions without authentication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS