Opis podatności
CERT Polska otrzymał zgłoszenie dotyczące podatności w urządzeniach tinycontrol (tcPDU oraz LAN Controllers: LK3.5, LK3.9 i LK4) oraz uczestniczył w koordynacji procesu ich ujawnienia.
Podatność CVE-2025-11500: Urządzenia tinycontrol, takie jak tcPDU oraz LAN Controller LK3.5, LK3.9 i LK4, posiadają dwa odrębne mechanizmy uwierzytelniania – jeden wyłącznie do zarządzania interfejsem, a drugi do ochrony wszystkich pozostałych zasobów serwera. Gdy drugi mechanizm jest wyłączony (co stanowi ustawienie domyślne), nieuwierzytelniony atakujący w sieci lokalnej może uzyskać nazwy użytkowników oraz zakodowane hasła do portalu zarządzania interfejsem poprzez analizę odpowiedzi HTTP serwera podczas odwiedzania strony logowania, która zawiera plik JSON z tymi danymi. Ujawniane są dane uwierzytelniające zarówno zwykłych użytkowników, jak i administratora.
Podatność CVE-2025-15587: Urządzenia tinycontrol, takie jak tcPDU oraz LAN Controller LK3.5, LK3.9 i LK4, umożliwiają użytkownikowi o niskich uprawnieniach odczyt hasła administratora poprzez bezpośredni dostęp do określonego zasobu, który nie jest dostępny z poziomu interfejsu graficznego.
Podatności zostały naprawione w następujących wersjach systemu układowego:
- 1.36 dla tcPDU
- 1.67 dla LK3.5 – wersje sprzętowe: 3.5, 3.6, 3.7 i 3.8
- 1.75 dla LK3.9 – wersja sprzętowa 3.9
- 1.38 dla LK4 – wersja sprzętowa 4.0.
Podziękowania
Za zgłoszenie podatności CVE-2025-11500 dziękujemy Pawłowi Różańskiemu z Securitum. Podatność CVE-2025-15587 została zgłoszona przez producenta urządzeń tinycontrol, aby zwiększyć bezpieczeństwo użytkowników, za co również dziękujemy.
