CVE-2025-69615
KrytyczneStreszczenie
Brak odpowiedniej kontroli dostępu spowodowany brakiem limitowania prób 2FA umożliwia nieograniczone próby ataku brute-force oraz całkowite obejście MFA bez interakcji użytkownika. Dotyczy to portalu zarządzania kontem Telekom Deutsche Telekom AG w wersjach przed 2025-10-24.
Ocena ryzyka
Organizacja jest narażona na ataki brute-force, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników. Brak interakcji użytkownika w procesie obejścia MFA zwiększa ryzyko kompromitacji konta.
Rekomendacja
Zaleca się aktualizację portalu zarządzania kontem do wersji po 2025-11-03, aby zaimplementować odpowiednie mechanizmy limitowania prób 2FA. Dodatkowo, warto rozważyć wprowadzenie dodatkowych zabezpieczeń w celu ochrony przed atakami brute-force.
Oryginalny opis (angielski, źródło NVD)
Incorrect Access Control via missing 2FA rate-limiting allowing unlimited brute-force retries and full MFA bypass with no user interaction required. Affected Product: Deutsche Telekom AG Telekom Account Management Portal, versions before 2025-10-24, fixed 2025-11-03.

