CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-64180

Critical
Published: Translated: NVD NIST

Summary

W oprogramowaniu księgowym Manager-io/Manager w wersjach Desktop i Server 25.11.1.3085 i poniżej występuje krytyczna podatność, która umożliwia nieautoryzowany dostęp do zasobów wewnętrznej sieci. Problem wynika z wadliwej konstrukcji mechanizmu walidacji DNS.

Risk Assessment

Podatność ta pozwala atakującym na obejście izolacji sieci i dostęp do wewnętrznych usług oraz chronionych segmentów sieci, co może prowadzić do poważnych naruszeń bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację oprogramowania do wersji 25.11.1.3086, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających w celu ochrony zasobów sieciowych.

Original NVD description (English source)

Manager-io/Manager is accounting software. In Manager Desktop and Server versions 25.11.1.3085 and below, a critical vulnerability permits unauthorized access to internal network resources. The flaw lies in the fundamental design of the DNS validation mechanism. A Time-of-Check Time-of-Use (TOCTOU) condition that allows attackers to bypass network isolation and access internal services, cloud metadata endpoints, and protected network segments. The Desktop edition requires no authentication; the Server edition requires only standard authentication. This issue is fixed in version 25.11.1.3086.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS