Katalog CVE

CVE-2025-56513

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

NiceHash QuickMiner w wersji 6.12.0 przeprowadza aktualizacje oprogramowania przez HTTP bez weryfikacji podpisów cyfrowych lub kontroli sum kontrolnych. Atakujący, który jest w stanie przechwycić lub przekierować ruch do adresu URL aktualizacji, może przejąć proces aktualizacji i dostarczyć dowolne pliki wykonywalne, które są automatycznie uruchamiane, co prowadzi do zdalnego wykonania kodu.

Ocena ryzyka

To stanowi krytyczny wektor ataku na łańcuch dostaw, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Rekomendacja

Zaleca się, aby użytkownicy NiceHash QuickMiner zaktualizowali oprogramowanie do najnowszej wersji, która korzysta z HTTPS oraz weryfikuje podpisy cyfrowe aktualizacji.

Oryginalny opis (angielski, źródło NVD)

NiceHash QuickMiner 6.12.0 perform software updates over HTTP without validating digital signatures or hash checks. An attacker capable of intercepting or redirecting traffic to the update url and can hijack the update process and deliver arbitrary executables that are automatically executed, resulting in full remote code execution. This constitutes a critical supply chain attack vector. NOTE: the Supplier reports that the existence of an http://update.nicehash.com URL is a fabrication, and that there is no other use of HTTP (rather than HTTPS).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS