Katalog CVE

CVE-2025-68717

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Routery KAYSUS KS-WR3600 z oprogramowaniem układowym 1.0.5.9.1 umożliwiają obejście uwierzytelniania podczas walidacji sesji. W przypadku, gdy jakikolwiek użytkownik jest zalogowany, punkty końcowe, takie jak /cgi-bin/system-tool, akceptują nieautoryzowane żądania z pustymi lub nieprawidłowymi wartościami sesji.

Ocena ryzyka

Ta wada konstrukcyjna pozwala atakującym na wykorzystanie aktywnej sesji innego użytkownika, co może prowadzić do ujawnienia wrażliwych danych konfiguracyjnych lub wykonania uprzywilejowanych działań bez uwierzytelnienia.

Rekomendacja

Zaleca się aktualizację oprogramowania układowego routerów do najnowszej wersji, aby usunąć tę lukę oraz wdrożenie dodatkowych mechanizmów zabezpieczających sesje użytkowników.

Oryginalny opis (angielski, źródło NVD)

KAYSUS KS-WR3600 routers with firmware 1.0.5.9.1 allow authentication bypass during session validation. If any user is logged in, endpoints such as /cgi-bin/system-tool accept unauthenticated requests with empty or invalid session values. This design flaw lets attackers piggyback on another user's active session to retrieve sensitive configuration data or execute privileged actions without authentication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS