PT-2025-47496 · Plex · Twonky Server
Publicado
2025-11-19
·
Atualizado
2025-12-06
·
CVE-2025-13315
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Twonky Server versões 8.5.2
Descrição
Um atacante não autenticado pode contornar os controles de autenticação da API do serviço web para acessar um arquivo de log e recuperar o nome de usuário e a senha criptografada do administrador. O problema envolve uma falha no controle de acesso. Os controles de autenticação da API podem ser contornados, permitindo acesso não autorizado a informações sensíveis. O endpoint da API vulnerável não é especificado explicitamente. O
nome de usuário e a senha do administrador são expostos no arquivo de log.Recomendações
Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Twonky Server