CVE-2025-56513
KrytyczneStreszczenie
NiceHash QuickMiner w wersji 6.12.0 przeprowadza aktualizacje oprogramowania przez HTTP bez weryfikacji podpisów cyfrowych lub kontroli sum kontrolnych. Atakujący, który jest w stanie przechwycić lub przekierować ruch do adresu URL aktualizacji, może przejąć proces aktualizacji i dostarczyć dowolne pliki wykonywalne, które są automatycznie uruchamiane, co prowadzi do zdalnego wykonania kodu.
Ocena ryzyka
To stanowi krytyczny wektor ataku na łańcuch dostaw, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się, aby użytkownicy NiceHash QuickMiner zaktualizowali oprogramowanie do najnowszej wersji, która korzysta z HTTPS oraz weryfikuje podpisy cyfrowe aktualizacji.
Oryginalny opis (angielski, źródło NVD)
NiceHash QuickMiner 6.12.0 perform software updates over HTTP without validating digital signatures or hash checks. An attacker capable of intercepting or redirecting traffic to the update url and can hijack the update process and deliver arbitrary executables that are automatically executed, resulting in full remote code execution. This constitutes a critical supply chain attack vector. NOTE: the Supplier reports that the existence of an http://update.nicehash.com URL is a fabrication, and that there is no other use of HTTP (rather than HTTPS).

