CVE-2025-71318
CriticalCVSS 9.8Summary
NetMan 204 nie wymusza uwierzytelniania na swoich stronach administracyjnych i punktach końcowych komend. Zdalny, nieautoryzowany atakujący może bezpośrednio żądać stron administracyjnych, co prowadzi do ujawnienia wrażliwych informacji oraz możliwości wywołania uprzywilejowanych komend kontrolnych UPS.
Risk Assessment
Brak uwierzytelniania na stronach administracyjnych stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do poufnych danych oraz kontrolę nad urządzeniem UPS. Może to prowadzić do zakłóceń w działaniu systemów oraz utraty danych.
Recommendation
Zaleca się natychmiastowe wprowadzenie mechanizmów uwierzytelniania na stronach administracyjnych oraz punktach końcowych komend, aby zabezpieczyć dostęp do wrażliwych informacji i funkcji kontrolnych.
Original NVD description (English source)
NetMan 204 fails to enforce authentication on its administrative pages and command endpoints. A remote, unauthenticated attacker can directly request administrative pages (such as administration.html, administration-commands.html, and configuration.html) to disclose sensitive information including LDAP configuration and active user details, and can invoke privileged UPS control commands — including shutdown, reboot, switch-on-bypass, and battery test — without supplying any credentials.

