Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu NetBird VPN i koordynował proces ujawniania informacji.
Podatność CVE-2025-10678: Skrypt dostarczony przez producenta wykorzystywany do zainstalowania NetBird VPN nie usuwał ani nie zmieniał domyślnego hasła konta administratora utworzonego przez ZITADEL - domyślnego dostawcę tożsamości. Problem dotyczy instancji zainstalowanych przy użyciu tego skryptu oraz może dotyczyć instancji, które korzystały z obrazu Dockera, jeżeli domyślne hasło nie zostało zmienione ani użytkownik nie został usunięty.
Ten problem został usunięty w wersji 0.57.0
Podziękowania
Za zgłoszenie podatności dziękujemy Adamowi Sobierajowi.
