Security Advisories
Bij 2N geloven we dat de beste manier om onze klanten te beschermen is om open te zijn over mogelijke risico’s – en om deze snel op te lossen.
Op deze pagina vindt u een overzicht van bekende en verholpen kwetsbaarheden die van invloed zijn op 2N-producten en -diensten, inclusief eventuele gerelateerde open-sourcecomponenten. Elke melding is voorzien van een CVE-ID (Common Vulnerabilities and Exposures) dat geregistreerd is op cve.org.
Voordat 2N de status van CVE Numbering Authority (CNA) verkreeg, publiceerden we onze eerste CVE’s via het Axis CNA-account. Sinds we zelf CNA zijn, publiceren we CVE’s rechtstreeks onder de naam 2N – voor eenvoudigere opvolging en meer transparantie.
Ontdekt u een kwetsbaarheid die van invloed is op een 2N-product en die hier niet wordt vermeld? Meld dit dan via dit formulier, zodat wij het direct kunnen onderzoeken.
2N CVE’s
Hier vindt u een overzicht van kwetsbaarheden die specifiek betrekking hebben op 2N-producten en -diensten. We raden ten zeerste aan om alle getroffen apparaten zo snel mogelijk te updaten zodra er een oplossing beschikbaar is.
CVE 2025
2N Access Commander
| CVE-nummer | CVSS-ernst | Gepatchte versie | Beveiligingsadvies / Kwetsbaarheids samenvatting |
| CVE-2025-59783 | 8.8 (HOOG) | 3.4.2 | 2N Beveiligingsadvies: API-eindpunt voor gebruikerssynchronisatie in 2N Access Commander versie 3.4.1 had geen voldoende invoervalidatie, waardoor OS-opdrachtinjectie mogelijk was. Deze kwetsbaarheid kan alleen worden misbruikt na authenticatie met beheerdersrechten. |
| CVE-2025-59784 | 6.9 (MIDDEL) | 3.4.2 | 2N Beveiligingsadvies: 2N Access Commander versie 3.4.1 en eerder is kwetsbaar voor logvervuiling. Bepaalde parameters die via de API worden verzonden, kunnen zonder voorafgaande validatie of sanering in de logs worden opgenomen. Deze kwetsbaarheid kan alleen worden misbruikt na authenticatie met beheerdersrechten. |
| CVE-2025-59785 | 5.3 (MIDDEL) |
3.5 | 2N Beveiligingsadvies: Onjuiste validatie van het API-eindpunt in 2N Access Commander versie 3.4.2 en eerder stelt aanvallers in staat om het wachtwoordbeleid voor de versleuteling van back-upbestanden te omzeilen. Deze kwetsbaarheid kan alleen worden misbruikt na authenticatie met beheerdersrechten. |
| CVE-2025-59786 | 6 (MIDDEL) |
3.5 | 2N Beveiligingsadvies: 2N Access Commander versie 3.4.2 en eerder ongeldig maakt sessietokens onjuist, waardoor meerdere sessiecookies actief kunnen blijven na uitloggen in de webapplicatie. |
| CVE-2025-59787 |
5.3 (MIDDEL) |
3.5 | 2N Beveiligingsadvies: 2N Access Commander applicatie versie 3.4.2 en eerder retourneert HTTP 500 Internal Server Error-responses bij het ontvangen van verkeerd gevormde of gemanipuleerde verzoeken, wat wijst op onjuiste verwerking van ongeldige invoer en mogelijke gevolgen voor de beveiliging of beschikbaarheid. |
CVE 2024
2N OS
| CVE-nummer | CVSS-ernst | Gepatchte versie | Beveiligingsadvies / Kwetsbaarheids samenvatting |
| CVE-2024-13416 | 4.3 (MIDDEL) | 2N OS 2.46 | 2N Beveiligingsadvies: Met de API in het 2N OS-apparaat kan een geautoriseerde gebruiker logging inschakelen, wat geldige authenticatietokens in het systeemlogboek onthult. |
| CVE-2024-13417 | 4.6 (MIDDEL) | 2N OS 2.46 | 2N Beveiligingsadvies: Speciaal gemaakte payloads die naar de RFID-lezer worden gestuurd, kunnen DoS van de RFID-lezer veroorzaken. Nadat het apparaat opnieuw is opgestart, komt het terug in een volledig werkende staat. |
2N Access Commander
| CVE-nummer | CVSS-ernst | Gepatchte versie | Beveiligingsadvies / Kwetsbaarheids samenvatting |
| CVE-2024-47253 | 7.2 (HOOG) | 3.2 | 2N Beveiligingsadvies: In 2N Access Commander versies 3.1.1.2 en eerder kon een Path Traversal-kwetsbaarheid een aanvaller met administratieve rechten in staat stellen om bestanden op het bestandssysteem te schrijven en mogelijk willekeurige externe code-uitvoering te bereiken. |
| CVE-2024-47254 | 6.3 (MEDIUM) | 3.2 | 2N Beveiligingsadvies: In 2N Access Commander versies 3.1.1.2 en eerder kon een kwetsbaarheid in de Onvoldoende Verificatie van Gegevensauthenticiteit een aanvaller in staat stellen om hun rechten te escaleren en roottoegang tot het systeem te krijgen. |
| CVE-2024-47255 | 4.7 (MEDIUM) | 3.2 | 2N Beveiligingsadvies: In 2N Access Commander versies 3.1.1.2 en eerder kan een lokale aanvaller hun rechten in het systeem escaleren, wat willekeurige code-uitvoering met rootrechten mogelijk kan maken. |
| CVE-2024-47256 | 6.0 (MEDIUM) | 3.3 | 2N Beveiligingsadvies: Succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller (die Admin-toegangsrechten moet hebben) in staat stellen om de hardcoded AES-wachtwoordzin te lezen, die kan worden gebruikt voor de decryptie van bepaalde gegevens binnen back-upbestanden van 2N Access Commander versie 1.14 en ouder. |
| CVE-2024-47258 | 8.1 (HIGH) | 3.3 | 2N Beveiligingsadvies: Sinds versie 2.2 van 2N Access Commander (uitgebracht in februari 2022) is het mogelijk om TLS-certificaatvalidatie af te dwingen en een MITM-aanval te voorkomen. Zie de sectie Oplossing en Mitigatie hieronder voor meer details. TLS-certificaatvalidatie is niet geactiveerd in de standaardinstelling en moet door de administrator worden ingeschakeld. |
Heeft u een probleem met cyberbeveiliging opgemerkt? Deel uw bevindingen met ons.
