Porady dotyczące bezpieczeństwa
W 2N wierzymy, że najlepszym sposobem ochrony naszych klientów jest otwarte informowanie o potencjalnych zagrożeniach i szybkie ich usuwanie.
Na tej stronie wymieniono znane, naprawione luki w zabezpieczeniach produktów i usług 2N wraz z powiązanymi komponentami open source. Każdy wpis jest identyfikowany za pomocą identyfikatora CVE (Common Vulnerabilities and Exposures) zarejestrowanego na stronie cve.org.
Zanim staliście się organem nadającym numery CVE (CNA), opublikowaliście wasze pierwsze numery CVE na koncie Axis CNA. Od momentu uzyskania statusu CNA wydajemy CVE bezpośrednio pod nazwą 2N, aby ułatwić śledzenie i zwiększyć przejrzystość.
Jeśli odkryjesz lukę w zabezpieczeniach, która ma wpływ na dowolny produkt 2N i nie została wymieniona tutaj, zgłoś ją za pomocą tego formularza, abyśmy mogli natychmiast ją zbadać.
2N CVE
Ten rejestr zawiera listę luk w zabezpieczeniach dotyczących produktów i usług firmy 2N. Zdecydowanie zalecamy aktualizację wszystkich urządzeń, których dotyczy problem, zaraz po opublikowaniu poprawek.
CVE 2025
2N Access Commander
| Numer CVE | Waga CVSS | Wersja z poprawką | Porady dotyczące bezpieczeństwa / Podsumowanie luk w zabezpieczeniach |
| CVE-2025-59783 | 8.8 (WYSOKI) | 3.4.2 | 2N Security Advisory: Punkt końcowy API do synchronizacji użytkowników w wersji 2N Access Commander 3.4.1 nie miał wystarczającej walidacji wejścia, co umożliwiało wstrzyknięcie poleceń systemowych. Ta luka w zabezpieczeniach może być wykorzystana tylko po uwierzytelnieniu z uprawnieniami administratora |
| CVE-2025-59784 | 6.9 (ŚREDNI) | 3.4.2 | 2N Security Advisory: Wersja 2N Access Commander 3.4.1 i wcześniejsze są podatne na zanieczyszczenie logów. Niektóre parametry przesyłane przez API mogą być uwzględnione w logach bez wcześniejszej walidacji lub sanitizacji. Ta luka w zabezpieczeniach może być wykorzystana tylko po uwierzytelnieniu z uprawnieniami administratora. |
| CVE-2025-59785 | 5.3 (ŚREDNI) |
3.5 | 2N Security Advisory: Niewłaściwa walidacja punktu końcowego API w wersji 2N Access Commander 3.4.2 i wcześniejszych pozwala atakującemu na ominięcie polityki haseł dla szyfrowania plików kopii zapasowej. Ta luka w zabezpieczeniach może być wykorzystana tylko po uwierzytelnieniu z uprawnieniami administratora. |
| CVE-2025-59786 | 6 (ŚREDNI) |
3.5 | 2N Security Advisory: Wersja 2N Access Commander 3.4.2 i wcześniejsze niewłaściwie unieważniają tokeny sesji, co pozwala na pozostawienie aktywnych wielu ciasteczek sesyjnych po wylogowaniu w aplikacji internetowej. |
| CVE-2025-59787 |
5.3 (ŚREDNI) |
3.5 | 2N Security Advisory: Aplikacja 2N Access Commander w wersji 3.4.2 i wcześniejszych zwraca odpowiedzi HTTP 500 Internal Server Error, gdy otrzymuje źle sformułowane lub manipulowane żądania, co wskazuje na niewłaściwe przetwarzanie nieprawidłowego wejścia oraz potencjalne skutki dla bezpieczeństwa lub dostępności. |
CVE 2024
2N OS
| Numer CVE | Waga CVSS | Wersja z poprawką | Porady dotyczące bezpieczeństwa / Podsumowanie luk w zabezpieczeniach |
| CVE-2024-13416 | 4,3 (ŚREDNI) | 2NOS 2.46 | 2N Security Advisory: Korzystając z interfejsu API w urządzeniu 2N OS, autoryzowany użytkownik może włączyć rejestrowanie, które ujawnia ważne tokeny uwierzytelniające w dzienniku systemowym. |
| CVE-2024-13417 | 4,6 (ŚREDNI) | 2NOS 2.46 | 2N Security Advisory: Specjalnie przygotowane dane wysyłane do czytnika RFID mogą spowodować awarię czytnika RFID. Po ponownym uruchomieniu urządzenie wraca do pełnej sprawności. |
2N Access Commander
| Numer CVE | Waga CVSS | Wersja z poprawką | Porady dotyczące bezpieczeństwa / Podsumowanie luk w zabezpieczeniach |
| CVE-2024-47253 | 7,2 (WYSOKI) | 3.2 | 2N Security Advisory: W wersjach 2N Access Commander 3.1.1.2 i wcześniejszych luka w zabezpieczeniach typu Path Traversal mogła umożliwić atakującemu z uprawnieniami administracyjnymi zapisywanie plików w systemie plików i potencjalnie wykonanie dowolnego kodu zdalnego. |
| CVE-2024-47254 | 6,3 (ŚREDNI) | 3.2 | 2N Security Advisory: W wersjach programu 2N Access Commander 3.1.1.2 i wcześniejszych luka w zabezpieczeniach związana z niewystarczającą weryfikacją autentyczności danych mogła umożliwić atakującemu podwyższenie swoich uprawnień i uzyskanie dostępu do systemu z uprawnieniami administratora. |
| CVE-2024-47255 | 4,7 (ŚREDNI) | 3.2 | 2N Security Advisory: W wersjach 2N Access Commander 3.1.1.2 i wcześniejszych lokalny atakujący może podwyższyć swoje uprawnienia w systemie, co może umożliwić wykonanie dowolnego kodu z uprawnieniami administratora. |
| CVE-2024-47256 | 6,0 (ŚREDNI) | 3.3 | 2N Security Advisory: Wykorzystanie tej luki może umożliwić atakującemu (który musi posiadać uprawnienia administratora) odczytanie zakodowanego na stałe hasła AES, które może zostać wykorzystane do odszyfrowania niektórych danych zawartych w plikach kopii zapasowych programu 2N Access Commander w wersji 1.14 i starszych. |
| CVE-2024-47258 | 8,1 (WYSOKI) | 3.3 | 2N Security Advisory: Od wersji 2.2 2N Access Commander (wydanej w lutym 2022 r.) możliwe jest egzekwowanie weryfikacji certyfikatów TLS i zapobieganie atakom MITM. Więcej szczegółów znajdziesz w sekcji „Rozwiązania i środki zaradcze” poniżej. Weryfikacja certyfikatów TLS nie jest domyślnie aktywna i musi zostać włączona przez administratora. |
Czy zauważyłeś problem z cyberbezpieczeństwem? Podziel się z nami swoimi odkryciami.
