Er is een zorgwekkende buffer overflow kwetsbaarheid (CVE-2025-50464) ontdekt in de upload.cgi module van de iptime NAS firmware v1.5.04. Deze kwetsbaarheid wordt veroorzaakt door het onveilig gebruik van de strcpy functie, die door een aanvaller aangestuurde data kopieert vanuit de CONTENT_TYPE HTTP header naar een vaste stackbuffer van slechts 8 bytes zonder grenzen te controleren.
Aangezien deze gevaarlijke bewerking plaatsvindt voordat authenticatie wordt uitgevoerd, is de kwetsbaarheid exploitabel zonder inloggegevens.
Overzicht
Dit buffer overflow probleem is gekoppeld aan CWE-121 en heeft een CVSS score van 6.5, wat wijst op een gemiddelde ernst. Het kan via het netwerk worden uitgevoerd, zonder dat er geavanceerde vaardigheden of gebruikersinteractie voor nodig is.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-50464?
CVE-2025-50464 is een security kwetsbaarheid in de iptime NAS firmware die een buffer overflow kan veroorzaken in het upload.cgi script, wat kan leiden tot ongeautoriseerde toegang of crashes.
Welke systemen zijn kwetsbaar voor CVE-2025-50464?
Deze kwetsbaarheid treft de iptime NAS firmware versie v1.5.04.
Bestaat er al een patch of beveiligingsupdate?
Er is momenteel geen informatie over een beschikbare patch. Het wordt aanbevolen om de bronnen in de gaten te houden voor updates van de leverancier.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan toegang krijgen tot de NAS zonder inloggegevens en mogelijk ongeautoriseerde data manipulaties uitvoeren.
Let op: Er zijn al proof-of-concept codes beschikbaar, wat de urgentie voor een snelle oplossing benadrukt.
