Avisos de segurança
Na 2N, achamos que a melhor maneira de proteger os nossos clientes é sermos sinceros sobre os riscos possíveis e resolver tudo rapidinho.
Esta página lista vulnerabilidades conhecidas corrigidas que afetam os produtos e serviços da 2N, juntamente com quaisquer componentes de código aberto relacionados. Cada entrada é identificada pelo seu CVE ID (Common Vulnerabilities and Exposures) registrado em cve.org.
Antes de nos tornarmos uma Autoridade de Numeração CVE (CNA), publicámos os nossos primeiros CVEs na conta Axis CNA. Desde que obtivemos o estatuto de CNA, emitimos CVEs diretamente sob o nome 2N para facilitar o rastreamento e aumentar a transparência.
Se descobrires uma vulnerabilidade que afete qualquer produto 2N e que não esteja listada aqui, por favor, reporta-a usando este formulário para que possamos investigar imediatamente.
2N CVEs
Este registo lista vulnerabilidades específicas dos produtos e serviços da 2N. Recomendamos atualizar todos os dispositivos afetados assim que as correções forem lançadas.
CVE 2025
2N Access Commander
| Número CVE | Severidade CVSS | Versão corrigida | Resumo do aviso de segurança / Vulnerabilidade |
| CVE-2025-59783 | 8.8 (ALTO) | 3.4.2 | Aviso de Segurança 2N: O ponto de extremidade da API para sincronização de utilizadores na versão 3.4.1 do 2N Access Commander não tinha uma validação de entrada suficiente, permitindo a injeção de comandos do sistema operativo. Esta vulnerabilidade só pode ser explorada após autenticação com privilégios de administrador. |
| CVE-2025-59784 | 6.9 (MÉDIO) | 3.4.2 | Aviso de Segurança 2N: A versão 3.4.1 do 2N Access Commander e anteriores é vulnerável à poluição de logs. Certos parâmetros enviados pela API podem ser incluídos nos logs sem validação ou sanitização prévias. Esta vulnerabilidade só pode ser explorada após autenticação com privilégios de administrador. |
| CVE-2025-59785 | 5.3 (MÉDIO) |
3.5 | Aviso de Segurança 2N: A validação inadequada do ponto de extremidade da API na versão 3.4.2 do 2N Access Commander e anteriores permite que um atacante contorne a política de palavras-passe para a encriptação de ficheiros de backup. Esta vulnerabilidade só pode ser explorada após autenticação com privilégios de administrador. |
| CVE-2025-59786 | 6 (MÉDIO) |
3.5 | Aviso de Segurança 2N: A versão 3.4.2 do 2N Access Commander e anteriores invalida de forma inadequada os tokens de sessão, permitindo que múltiplos cookies de sessão permaneçam ativos após o logout na aplicação web. |
| CVE-2025-59787 |
5.3 (MÉDIO) |
3.5 | Aviso de Segurança 2N: A aplicação 2N Access Commander versão 3.4.2 e anteriores devolve respostas de erro HTTP 500 Internal Server Error ao receber pedidos malformados ou manipulados, indicando um manuseamento inadequado de entradas inválidas e potenciais impactos na segurança ou disponibilidade. |
CVE 2024
2N OS
| Número CVE | Severidade CVSS | Versão corrigida | Resumo do aviso de segurança / Vulnerabilidade |
| CVE-2024-13416 | 4.3 (MÉDIO) | 2N OS 2.46 | Aviso de Segurança 2N: Usando a API no dispositivo 2N OS, o utilizador autorizado pode ativar o registo, que divulga tokens de autenticação válidos no registo do sistema. |
| CVE-2024-13417 | 4.6 (MÉDIO) | 2N OS 2.46 | Aviso de Segurança 2N: Payloads especificamente elaborados enviados para o leitor RFID podem causar DoS do leitor RFID. Após o dispositivo ser reiniciado, ele volta ao estado totalmente funcional. |
2N Access Commander
| Número CVE | Severidade CVSS | Versão corrigida | Resumo do aviso de segurança / Vulnerabilidade |
| CVE-2024-47253 | 7.2 (ALTO) | 3.2 | Aviso de Segurança 2N: Nas versões 3.1.1.2 e anteriores do 2N Access Commander, uma vulnerabilidade de Traversal de Caminho poderia permitir que um atacante com privilégios administrativos escrevesse arquivos no sistema de arquivos e potencialmente conseguisse execução remota de código arbitrário. |
| CVE-2024-47254 | 6.3 (MÉDIO) | 3.2 | Aviso de Segurança 2N: Nas versões 3.1.1.2 e anteriores do 2N Access Commander, uma vulnerabilidade de Verificação Insuficiente da Autenticidade dos Dados poderia permitir que um atacante escalasse seus privilégios e obtivesse acesso root ao sistema. |
| CVE-2024-47255 | 4.7 (MÉDIO) | 3.2 | Aviso de Segurança 2N: Nas versões 3.1.1.2 e anteriores do 2N Access Commander, um atacante local pode escalar seus privilégios no sistema, o que poderia permitir a execução de código arbitrário com permissões de root. |
| CVE-2024-47256 | 6.0 (MÉDIO) | 3.3 | Aviso de Segurança 2N: A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante (que precisa ter privilégios de acesso de Admin) lesse a frase secreta AES codificada, que pode ser usada para a descriptografia de certos dados dentro dos arquivos de backup da versão 1.14 do 2N Access Commander e anteriores. |
| CVE-2024-47258 | 8.1 (ALTO) | 3.3 | Aviso de Segurança 2N: Desde a versão 2.2 do 2N Access Commander (lançada em fevereiro de 2022), é possível impor a validação do certificado TLS e prevenir ataques MITM. Veja a seção de Solução e Mitigação abaixo para mais detalhes. A validação do certificado TLS não está ativada na configuração padrão e precisa ser habilitada pelo administrador. |
Você notou algum problema de cibersegurança? Compartilhe suas descobertas conosco.
