Katalog CVE

CVE-2025-52352

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Platforma zarządzania IoT Aikaan w wersji v3.25.0325-5-g2e9c59796 umożliwia wyłączenie rejestracji użytkowników w rozproszonych wdrożeniach poprzez ukrycie opcji rejestracji na stronie logowania. Mimo to, punkt końcowy API do rejestracji pozostaje publicznie dostępny, co pozwala nieautoryzowanym użytkownikom na tworzenie kont nawet przy wyłączonej funkcji.

Ocena ryzyka

To prowadzi do obejścia mechanizmów uwierzytelniania i nieautoryzowanego dostępu do portali administracyjnych, co narusza zamierzone kontrole dostępu i może prowadzić do poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się zabezpieczenie punktu końcowego API rejestracji, aby uniemożliwić dostęp nieautoryzowanym użytkownikom, nawet gdy funkcja rejestracji jest wyłączona.

Oryginalny opis (angielski, źródło NVD)

Aikaan IoT management platform v3.25.0325-5-g2e9c59796 provides a configuration to disable user sign-up in distributed deployments by hiding the sign-up option on the login page UI. However, the sign-up API endpoint remains publicly accessible and functional, allowing unauthenticated users to register accounts via APIs even when the feature is disabled. This leads to authentication bypass and unauthorized access to admin portals, violating intended access controls.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS