Katalog CVE

CVE-2025-67112

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wykorzystanie twardo zakodowanego klucza AES-256-CBC w implementacji tworzenia kopii zapasowych/przywracania konfiguracji w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 umożliwia zdalnym uwierzytelnionym użytkownikom odszyfrowanie, modyfikację i ponowne zaszyfrowanie konfiguracji urządzenia.

Ocena ryzyka

To pozwala na manipulację poświadczeniami oraz eskalację uprawnień za pomocą funkcji importu/eksportu w interfejsie graficznym, co stanowi poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację oprogramowania układowego do najnowszej wersji, aby usunąć twardo zakodowany klucz oraz wprowadzenie dodatkowych środków zabezpieczających dla funkcji importu/eksportu.

Oryginalny opis (angielski, źródło NVD)

Use of a hard-coded AES-256-CBC key in the configuration backup/restore implementation of Small Cell Sercomm SCE4255W (FreedomFi Englewood) firmware before DG3934v3@2308041842 allows remote authenticated users to decrypt, modify, and re-encrypt device configurations, enabling credential manipulation and privilege escalation via the GUI import/export functions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS