Notifiche di sicurezza
Noi di 2N pensiamo che il modo migliore per proteggere i nostri clienti sia essere chiari sui potenziali rischi e risolverli in fretta.
Questa pagina elenca le vulnerabilità note risolte che riguardano i prodotti e i servizi 2N, insieme a eventuali componenti open source correlati. Ogni voce è identificata dal proprio ID CVE (Common Vulnerabilities and Exposures) registrato su cve.org.
Prima di diventare un'autorità di numerazione CVE (CNA), abbiamo pubblicato i nostri primi CVE con l'account CNA di Axis. Da quando abbiamo ottenuto lo status di CNA, emettiamo CVE direttamente con il nome 2N per facilitare il monitoraggio e aumentare la trasparenza.
Se trovi una vulnerabilità che riguarda un prodotto 2N e non è elencata qui, segnalala usando questo modulo, così da poter effettuare subito dei controlli.
2N CVE
Questo registro elenca le vulnerabilità specifiche dei prodotti e servizi 2N. Ti consigliamo vivamente di aggiornare tutti i dispositivi interessati, non appena saranno disponibili le correzioni.
CVE 2025
2N Access Commander
| Numero CVE | Severità CVSS | Versione aggiornata | Avviso di sicurezza / Riepilogo delle vulnerabilità |
| CVE-2025-59783 | 8.8 (ALTO) | 3.4.2 | Avviso di sicurezza 2N: L'endpoint API per la sincronizzazione degli utenti nella versione 3.4.1 di 2N Access Commander non aveva una validazione sufficiente degli input, consentendo l'iniezione di comandi OS. Questa vulnerabilità può essere sfruttata solo dopo aver effettuato l'autenticazione con privilegi di amministratore. |
| CVE-2025-59784 | 6.9 (MEDIO) | 3.4.2 | Avviso di sicurezza 2N: La versione 3.4.1 e precedenti di 2N Access Commander è vulnerabile alla contaminazione dei log. Alcuni parametri inviati tramite API possono essere inclusi nei log senza una validazione o sanificazione preventiva. Questa vulnerabilità può essere sfruttata solo dopo aver effettuato l'autenticazione con privilegi di amministratore. |
| CVE-2025-59785 | 5.3 (MEDIO) |
3.5 | Avviso di sicurezza 2N: Una validazione impropria dell'endpoint API nella versione 3.4.2 e precedenti di 2N Access Commander consente all'attaccante di eludere la politica delle password per la crittografia dei file di backup. Questa vulnerabilità può essere sfruttata solo dopo aver effettuato l'autenticazione con privilegi di amministratore. |
| CVE-2025-59786 | 6 (MEDIO) |
3.5 | Avviso di sicurezza 2N: La versione 3.4.2 e precedenti di 2N Access Commander invalida in modo improprio i token di sessione, consentendo a più cookie di sessione di rimanere attivi dopo il logout nell'applicazione web. |
| CVE-2025-59787 |
5.3 (MEDIO) |
3.5 | Avviso di sicurezza 2N: L'applicazione 2N Access Commander versione 3.4.2 e precedenti restituisce risposte HTTP 500 Internal Server Error quando riceve richieste malformate o manipolate, indicando una gestione impropria degli input non validi e potenziali impatti sulla sicurezza o sulla disponibilità. |
CVE 2024
2N OS
| Numero CVE | Severità CVSS | Versione aggiornata | Avviso di sicurezza / Riepilogo delle vulnerabilità |
| CVE-2024-13416 | 4.3 (MEDIO) | 2N OS 2.46 | Avviso di sicurezza 2N: Utilizzando l'API nel dispositivo 2N OS, l'utente autorizzato può abilitare il logging, che rivela i token di autenticazione validi nel log di sistema. |
| CVE-2024-13417 | 4.6 (MEDIO) | 2N OS 2.46 | Avviso di sicurezza 2N: Payload specificamente progettati inviati al lettore RFID potrebbero causare un DoS del lettore RFID. Dopo che il dispositivo è stato riavviato, torna a uno stato di pieno funzionamento. |
2N Access Commander
| Numero CVE | Severità CVSS | Versione aggiornata | Avviso di sicurezza / Riepilogo delle vulnerabilità |
| CVE-2024-47253 | 7.2 (ALTO) | 3.2 | Avviso di sicurezza 2N: Nelle versioni 3.1.1.2 e precedenti di 2N Access Commander, una vulnerabilità di Path Traversal potrebbe consentire a un attaccante con privilegi amministrativi di scrivere file nel filesystem e potenzialmente ottenere l'esecuzione di codice remoto arbitrario. |
| CVE-2024-47254 | 6.3 (MEDIO) | 3.2 | Avviso di sicurezza 2N: Nelle versioni 3.1.1.2 e precedenti di 2N Access Commander, una vulnerabilità di Verifica Insufficiente dell'Autenticità dei Dati potrebbe consentire a un attaccante di elevare i propri privilegi e ottenere accesso root al sistema. |
| CVE-2024-47255 | 4.7 (MEDIO) | 3.2 | Avviso di sicurezza 2N: Nelle versioni 3.1.1.2 e precedenti di 2N Access Commander, un attaccante locale può elevare i propri privilegi nel sistema, il che potrebbe consentire l'esecuzione di codice arbitrario con permessi di root. |
| CVE-2024-47256 | 6.0 (MEDIO) | 3.3 | Avviso di sicurezza 2N: Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un attaccante (che deve avere privilegi di accesso Admin) di leggere la passphrase AES hardcoded, che potrebbe essere utilizzata per la decrittazione di determinati dati all'interno dei file di backup di 2N Access Commander versione 1.14 e precedenti. |
| CVE-2024-47258 | 8.1 (ALTO) | 3.3 | Avviso di sicurezza 2N: Dalla versione 2.2 di 2N Access Commander (rilasciata a febbraio 2022) è possibile forzare la convalida del certificato TLS e prevenire attacchi MITM. Vedi la sezione Soluzione e Mitigazione qui sotto per ulteriori dettagli. La convalida del certificato TLS non è attivata nelle impostazioni predefinite e deve essere abilitata dall'amministratore. |
Hai notato un problema di sicurezza informatica? Condividi con noi le tue scoperte.
