Bezpečnostní upozornění
V 2N věříme, že nejlepším způsobem, jak chránit naše zákazníky, je být otevření ohledně možných rizik – a rychle je odstraňovat.
Na této stránce najdete seznam známých a již opravených zranitelností, které se týkají jak 2N produktů a služeb, tak i souvisejících open-source komponent. Každá zranitelnost je označena svým CVE ID (Common Vulnerabilities and Exposures) registrovaným na cve.org.
Než jsme se stali CNA autoritou (CVE Numbering Authority), zveřejňovali jsme CVE pod CNA účtem naší mateřské společnosti Axis. V současné době již máme status CNA a vydáváme jednotlivá CVE přímo pod hlavičkou 2N, což přináší snazší dohledatelnost a vyšší transparentnost.
Pokud objevíte zranitelnost, která se týká jakéhokoli 2N produktu a ještě zde není uvedena, nahlaste ji prosím prostřednictvím tohoto formuláře, abychom ji mohli neprodleně prověřit.
2N CVE
Níže najdete seznam všech opravených zranitelností týkajících se 2N produktů a služeb. Důrazně doporučujeme provést aktualizaci všech dotčených zařízení ihned po vydání oprav.
CVE 2025
2N Access Commander
| CVE číslo | CVSS závažnost | Opravená verze | Bezpečnostní oznámení / Shrnutí zranitelnosti |
| CVE-2025-59783 | 8.8 (VYSOKÁ) | 3.4.2 | 2N Bezpečnostní oznámení: API endpoint pro synchronizaci uživatelů v systému 2N Access Commander verze 3.4.1 neprováděl dostatečnou validaci vstupních dat, což umožňovalo vložení podvrhnutých systémových příkazů (OS command injection). Tuto zranitelnost lze zneužít pouze po přihlášení s administrátorskými oprávněními. |
| CVE-2025-59784 | 6.9 (STŘEDNÍ) | 3.4.2 | 2N Bezpečnostní oznámení: 2N Access Commander verze 3.4.1 a starší obsahuje zranitelnost typu „log pollution“. Některé parametry odesílané prostřednictvím API mohou být zapisovány do logů bez předchozí validace. Tuto zranitelnost lze zneužít pouze po přihlášení s administrátorskými oprávněními. |
| CVE-2025-59785 | 5.3 (STŘEDNÍ) |
3.5 | 2N Bezpečnostní oznámení: Nedostatečná validace API endpointu v systému 2N Access Commander verze 3.4.2 a starší umožňuje hackerům obejít zásady hesel pro šifrování záložních souborů. Tuto zranitelnost lze zneužít pouze po přihlášení s administrátorskými oprávněními. |
| CVE-2025-59786 | 6 (STŘEDNÍ) |
3.5 | 2N Bezpečnostní oznámení: 2N Access Commander verze 3.4.2 a starší nesprávně zneplatňuje session tokeny, což může způsobit, že po odhlášení z webové aplikace zůstane aktivních více cookies relací. |
| CVE-2025-59787 |
5.3 (STŘEDNÍ) |
3.5 | 2N Bezpečnostní oznámení: 2N Access Commander verze 3.4.2 a starší vrací při přijetí neplatných nebo manipulovaných požadavků odpověď HTTP 500 Internal Server Error, což naznačuje nedostatečné ošetření neplatných vstupů a může mít dopad na bezpečnost nebo dostupnost systému. |
CVE 2025
2N OS
| CVE číslo | CVSS závažnost | Opravená verze | Bezpečnostní oznámení / Shrnutí zranitelnosti |
| CVE-2024-13416 | 4.3 (STŘEDNÍ) | 2N OS 2.46 | 2N Bezpečnostní oznámení: Použitím API v zařízení 2N OS může autorizovaný uživatel povolit protokolování, které odhaluje platné autentizační tokeny v systémovém protokolu. |
| CVE-2024-13417 | 4.6 (STŘEDNÍ) | 2N OS 2.46 | 2N Bezpečnostní oznámení: Speciálně vytvořené payloady zaslané na RFID čtečku by mohly způsobit DoS čtečky RFID. Po restartování zařízení se vrátí do plně funkčního stavu. |
2N Access Commander
| CVE číslo | CVSS závažnost | Opravená verze | Bezpečnostní oznámení / Shrnutí zranitelnosti |
| CVE-2024-47253 | 7.2 (VYSOKÁ) | 3.2 | 2N Bezpečnostní oznámení: Ve verzích 2N Access Commander 3.1.1.2 a starších by zranitelnost Path Traversal mohla umožnit útočníkovi s administrativními právy zapisovat soubory do souborového systému a potenciálně dosáhnout libovolného vzdáleného spuštění kódu. |
| CVE-2024-47254 | 6.3 (STŘEDNÍ) | 3.2 | 2N Bezpečnostní oznámení: Ve verzích 2N Access Commander 3.1.1.2 a starších by zranitelnost nedostatečné verifikace autentičnosti dat mohla útočníkovi umožnit zvýšení jejich oprávnění a získání root přístupu k systému. |
| CVE-2024-47255 | 4.7 (STŘEDNÍ) | 3.2 | 2N Bezpečnostní oznámení: Ve verzích 2N Access Commander 3.1.1.2 a starších může místní útočník zvýšit svá oprávnění v systému, což by mohlo umožnit provádění libovolného kódu s rootovskými oprávněními. |
| CVE-2024-47256 | 6.0 (STŘEDNÍ) | 3.3 | 2N Bezpečnostní oznámení: Úspěšné zneužití této zranitelnosti by mohlo útočníkovi (který musí mít oprávnění správce) umožnit přečíst hardcoded AES frázi, která může být použita k dešifrování určitých dat v záložních souborech 2N Access Commander verze 1.14 a starších. |
| CVE-2024-47258 | 8.1 (VYSOKÉ) | 3.3 | 2N Bezpečnostní oznámení: Od verze 2.2 2N Access Commander (vydané v únoru 2022) je možné vynutit validaci TLS certifikátu a zabránit útoku MITM. Viz sekce Řešení a zmírnění níže pro více informací. Validace TLS certifikátu není ve výchozím nastavení aktivována a musí být povolena správcem. |
Zaznamenali jste problém s kybernetickou bezpečností? Podělte se s námi o své poznatky.
