Avis de sécurité
Chez 2N, nous pensons que la meilleure façon de protéger nos clients, c'est d'être transparent sur les risques potentiels et de les régler rapidement.
Cette page liste les failles de sécurité connues et corrigées qui touchent les produits et services 2N, ainsi que les composants open source associés. Chaque entrée est identifiée par son identifiant CVE (Common Vulnerabilities and Exposures) enregistré sur cve.org.
Avant de devenir une autorité de numérotation CVE (CNA), nous avons publié nos premiers CVE sous le compte CNA d'Axis. Depuis que nous avons obtenu le statut CNA, nous émettons les CVE directement sous le nom 2N pour faciliter le suivi et améliorer la transparence.
Si vous trouvez une faille qui touche un produit 2N et qui n'est pas mentionnée ici, merci de la signaler avec ce formulaire pour que nous puissions nous pencher dessus dans les plus brefs délais.
2N CVE
Ce registre répertorie les vulnérabilités spécifiques aux produits et services 2N. Nous recommandons vivement de mettre à jour tous les appareils concernés dès que les correctifs sont disponibles.
CVE 2025
2N Access Commander
| Numéro CVE | Gravité CVSS | Version corrigée | Avis de sécurité / Résumé des vulnérabilités |
| CVE-2025-59783 | 8.8 (ÉLEVÉ) | 3.4.2 | Avis de sécurité 2N: Le point de terminaison API pour la synchronisation des utilisateurs dans la version 3.4.1 de 2N Access Commander n'avait pas une validation des entrées suffisante, ce qui permettait l'injection de commandes du système d'exploitation. Cette faille ne peut être exploitée qu'après s'être connecté avec des droits d'administrateur. |
| CVE-2025-59784 | 6.9 (MOYEN) | 3.4.2 | Avis de sécurité 2N: La version 3.4.1 et les versions antérieures de 2N Access Commander peuvent être touchées par la pollution des journaux. Certains paramètres envoyés via l'API peuvent être inclus dans les journaux sans validation ou nettoyage préalable. Cette faille ne peut être exploitée qu'après s'être connecté avec des droits d'administrateur. |
| CVE-2025-59785 | 5.3 (MOYEN) |
3.5 | Avis de sécurité 2N: Une validation incorrecte du point de terminaison API dans 2N Access Commander version 3.4.2 et antérieures permet à un attaquant de contourner la politique de mot de passe pour le chiffrement des fichiers de sauvegarde. Cette vulnérabilité ne peut être exploitée qu'après authentification avec des privilèges d'administrateur. |
| CVE-2025-59786 | 6 (MOYEN) |
3.5 | Avis de sécurité 2N: La version 3.4.2 et les versions antérieures de 2N Access Commander invalident mal les jetons de session, ce qui fait que plusieurs cookies de session restent actifs après la déconnexion dans l'appli web. |
| CVE-2025-59787 |
5.3 (MOYEN) |
3.5 | Avis de sécurité 2N: L'appli 2N Access Commander version 3.4.2 et les versions antérieures renvoient des réponses HTTP 500 Internal Server Error quand elles reçoivent des requêtes mal formées ou manipulées, ce qui montre qu'elles ne gèrent pas bien les entrées invalides et que ça peut avoir un impact sur la sécurité ou la disponibilité. |
CVE 2024
2N OS
| Numéro CVE | Gravité CVSS | Version corrigée | Avis de sécurité / Résumé des vulnérabilités |
| CVE-2024-13416 | 4,3 (MOYEN) | 2N OS 2.46 | Avis de sécurité 2N: En utilisant l'API dans l'appareil 2N OS, un utilisateur autorisé peut activer la journalisation, ce qui montre les jetons d'authentification valides dans le journal système. |
| CVE-2024-13417 | 4,6 (MOYEN) | 2N OS 2.46 | Avis de sécurité 2N: Des charges utiles spécialement conçues envoyées au lecteur RFID pourraient provoquer un déni de service (DoS) du lecteur RFID. Une fois redémarré, l'appareil est à nouveau prêt à l'emploi. |
2N Access Commander
| Numéro CVE | Gravité CVSS | Version corrigée | Avis de sécurité / Résumé des vulnérabilités |
| CVE-2024-47253 | 7,2 (ÉLEVÉ) | 3.2 | Avis de sécurité 2N: Dans les versions 3.1.1.2 et antérieures de 2N Access Commander, une faille de type « Path Traversal » pouvait permettre à un pirate avec des droits d'administrateur d'écrire des fichiers sur le système de fichiers et potentiellement d'exécuter du code à distance. |
| CVE-2024-47254 | 6,3 (MOYEN) | 3.2 | Avis de sécurité 2N: Dans les versions 3.1.1.2 et antérieures de 2N Access Commander, un problème de vérification insuffisante de l'authenticité des données pouvait permettre à un pirate d'augmenter ses privilèges et d'accéder au système en tant qu'administrateur. |
| CVE-2024-47255 | 4,7 (MOYEN) | 3.2 | Avis de sécurité 2N: Dans les versions 3.1.1.2 et antérieures de 2N Access Commander, un pirate local peut augmenter ses privilèges dans le système, ce qui pourrait lui permettre d'exécuter du code arbitraire avec les droits root. |
| CVE-2024-47256 | 6,0 (MOYEN) | 3.3 | Avis de sécurité 2N: Si quelqu'un arrive à exploiter cette faille (il faut avoir les droits d'administrateur), il pourrait lire le mot de passe AES codé en dur, qui peut servir à décrypter certaines données dans les fichiers de sauvegarde de 2N Access Commander version 1.14 et antérieures. |
| CVE-2024-47258 | 8,1 (ÉLEVÉ) | 3.3 | Avis de sécurité 2N: Depuis la version 2.2 de 2N Access Commander (sortie en février 2022), on peut valider les certificats TLS et empêcher les attaques MITM. Pour plus d'infos, jetez un œil à la section « Solution et atténuation » ci-dessous. La validation des certificats TLS n'est pas activée par défaut et doit être activée par l'administrateur. |
Avez-vous constaté un problème de cybersécurité ? Faites-nous part de vos conclusions.
