Katalog CVE

CVE-2025-64180

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W oprogramowaniu księgowym Manager-io/Manager w wersjach Desktop i Server 25.11.1.3085 i poniżej występuje krytyczna podatność, która umożliwia nieautoryzowany dostęp do zasobów wewnętrznej sieci. Problem wynika z wadliwej konstrukcji mechanizmu walidacji DNS.

Ocena ryzyka

Podatność ta pozwala atakującym na obejście izolacji sieci i dostęp do wewnętrznych usług oraz chronionych segmentów sieci, co może prowadzić do poważnych naruszeń bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację oprogramowania do wersji 25.11.1.3086, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających w celu ochrony zasobów sieciowych.

Oryginalny opis (angielski, źródło NVD)

Manager-io/Manager is accounting software. In Manager Desktop and Server versions 25.11.1.3085 and below, a critical vulnerability permits unauthorized access to internal network resources. The flaw lies in the fundamental design of the DNS validation mechanism. A Time-of-Check Time-of-Use (TOCTOU) condition that allows attackers to bypass network isolation and access internal services, cloud metadata endpoints, and protected network segments. The Desktop edition requires no authentication; the Server edition requires only standard authentication. This issue is fixed in version 25.11.1.3086.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS