Katalog CVE

CVE-2025-67304

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Ruckus Network Director (RND) w wersjach poniżej 4.5.0.54, urządzenie OVA zawiera zakodowane na stałe dane uwierzytelniające dla użytkownika bazy danych PostgreSQL. W domyślnej konfiguracji usługa PostgreSQL jest dostępna w sieci na porcie TCP 5432.

Ocena ryzyka

Atakujący może wykorzystać te zakodowane dane uwierzytelniające do zdalnej autoryzacji, uzyskując dostęp superużytkownika do bazy danych. To stwarza poważne zagrożenie dla bezpieczeństwa, umożliwiając tworzenie użytkowników administracyjnych oraz wykonywanie dowolnych poleceń systemowych.

Rekomendacja

Zaleca się aktualizację Ruckus Network Director do wersji 4.5.0.54 lub nowszej oraz zabezpieczenie dostępu do usługi PostgreSQL, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

In Ruckus Network Director (RND) < 4.5.0.54, the OVA appliance contains hardcoded credentials for the ruckus PostgreSQL database user. In the default configuration, the PostgreSQL service is accessible over the network on TCP port 5432. An attacker can use the hardcoded credentials to authenticate remotely, gaining superuser access to the database. This allows creation of administrative users for the web interface, extraction of password hashes, and execution of arbitrary OS commands.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS