MBS-2025-0001 : Plusieurs vulnérabilités de sécurité dans l'interface graphique Web UBR ont été corrigées.

Publisher: MBS GmbHDocument category: csaf_security_advisoryInitial release date: 2025-11-28T11:00:00.000ZEngine: Secvisogram 2.5.41Current release date: 2025-11-28T11:00:00.000ZBuild Date: 2025-12-17T12:15:11.641ZCurrent version: 1.0.0Status: draftCVSSv3.1 Base Score: 8.8Severity: HighOriginal language: Language: en-USAlso referred to: #{[TODO][MUST]First alias must be VDE-ID, more aliases are optional}#${vde_id=VDE-0815-4711}$

Résumé

Plusieurs vulnérabilités ont été signalées dans le micrologiciel UBR.

Recommandation générale

Veuillez installer immédiatement la nouvelle version du micrologiciel V6.0.1.0 pour l'UBR.

Impact

// Describe overall (impact of) the vulnerabilities. //

atténuation

Veuillez installer immédiatement la nouvelle version du micrologiciel V6.0.1.0 pour l'UBR.

Remédiation

Veuillez installer immédiatement la nouvelle version du micrologiciel V6.0.1.0 pour l'UBR.

Description du produit

Les routeurs BACnet universels MBS permettent de connecter des réseaux BACnet de différentes technologies. Ils sont compatibles avec la révision 22 actuelle de BACnet et prennent en charge BACnet/IP, BACnet Ethernet, BACnet MS/TP et BACnet/LonTalk.

La version du micrologiciel des routeurs BACnet universels est disponible en deux versions différentes, par exemple 32 Mo de RAM | UBR-MICRO7 21.2.1 et 64 Mo de RAM | UBR-MICRO7 21.3.1.

Groupes de produits

Produits fixes.

  • Micrologiciel UBR (32 Mo)

  • Micrologiciel UBR (64 Mo)

Vulnérabilités

Lecture arbitraire avec ubr-editfile (CVE-2025-41754)

Impact(gestion opérationnelle et administrateurs système)

Un adversaire disposant d'un compte utilisateur peut lire n'importe quel fichier sur le système. Il peut alors, entre autres :

Veuillez consulter le fichier /etc/shadow et tenter de récupérer le mot de passe de service pour vous connecter à la machine via SSH.

Veuillez consulter les identifiants de l'interface Web dans /ubr/config/user.cfg et tenter de récupérer leurs mots de passe.

Veuillez consulter la clé privée du serveur https (/ubr/etc/certs/httpd.pem) ou du service BACnet/SC (/ubr/etc/certs/1_srvr-pkey.pem).

Description de la vulnérabilité(toutes)

La méthode ubr-editfile dans wwwubr.cgi est un point de terminaison API non utilisé et non documenté, probablement un vestige d'une ancienne version, qui permet une lecture arbitraire sur l'ensemble du système de fichiers.

CWE : CWE-863 : Autorisation incorrecte

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N6.5Firmware UBR (64 Mo)CVSS : 3.1/AV : N/AC : L/PR : L/UI : N/S : U/C : H/I : N/A : N6.5

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Lecture arbitraire avec ubr-logread (CVE-2025-41755)

Impact

Un adversaire disposant d'un compte utilisateur peut lire n'importe quel fichier sur le système. Il peut alors, entre autres :

Veuillez consulter le fichier /etc/shadow et tenter de récupérer le mot de passe de service pour vous connecter à la machine via SSH.

Veuillez consulter les identifiants de l'interface Web dans /ubr/config/user.cfg et tenter de récupérer leurs mots de passe.

Veuillez consulter la clé privée du serveur https (/ubr/etc/certs/httpd.pem) ou du service BACnet/SC (/ubr/etc/certs/1_srvr-pkey.pem).

Description de la vulnérabilité

La méthode ubr-logread dans wwwubr.cgi récupère le contenu d'un fichier journal (/tmp/weblog{some_number}). Malheureusement, le fichier journal à ouvrir est fourni en tant que paramètre dans la requête et peut donc être modifié pour récupérer un fichier arbitraire.

CWE : CWE-20 : Validation incorrecte des entrées

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : H/I : N/A : N5.7

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Écriture arbitraire avec ubr-editfile (CVE-2025-41756)

Impact

L'attaquant dispose d'un contrôle total sur le système de fichiers. Il peut :

− Remplacer tout fichier

Remplacer les scripts existants par des scripts malveillants qui finiront par être exécutés.

Modifier le mot de passe avec le sien (interface web et ssh)

Modifier tout fichier de configuration (web, BACnet, ssh, réseau, etc.)

Veuillez ouvrir ou supprimer les filtres réseau.

− ...

Description de la vulnérabilité

La méthode ubr-editfile dans wwwubr.cgi est un point de terminaison API non utilisé et non documenté, probablement un vestige d'une ancienne version, qui permet l'écriture arbitraire sur l'ensemble du système de fichiers.

CWE : CWE-912 : Fonctionnalité cachée

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : H/I : H/A : H8

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Écriture arbitraire avec ubr-restore (CVE-2025-41757)

Impact

L'attaquant dispose d'un contrôle total sur le système de fichiers. Il peut :

− Remplacer tout fichier

Remplacer les scripts existants par des scripts malveillants qui finiront par être exécutés.

Modifier le mot de passe avec le sien (interface web et ssh)

Modifier tout fichier de configuration (web, BACnet, ssh, réseau, etc.)

Veuillez ouvrir ou supprimer les filtres réseau.

− ...

Description de la vulnérabilité

Lors de la restauration d'une sauvegarde en tant qu'utilisateur, veuillez ne pas vérifier quels fichiers sont contenus dans l'archive de sauvegarde. Il est alors possible de créer un fichier n'importe où sur le système et de remplacer tout fichier existant.

CWE : CWE-20 : Validation incorrecte des entrées

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : H/PR : L/UI : N/S : U/C : H/I : H/A : H7.1

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Écriture arbitraire avec wwwupload.cgi (CVE-2025-41758)

Impact

Avec la vulnérabilité de traversée de chemin, un attaquant dispose d'un contrôle total sur le système de fichiers. Il peut :

− Remplacer tout fichier

Remplacer les scripts existants par des scripts malveillants qui finiront par être exécutés.

Modifier le mot de passe avec le sien (interface web et ssh)

Modifier tout fichier de configuration (web, BACnet, ssh, réseau, etc.)

Veuillez ouvrir ou supprimer les filtres réseau.

− ...

Description de la vulnérabilité

Cette API peut être utilisée pour télécharger des images dans l'onglet « Détails ». Elle comporte un paramètre de fichier qui est généralement soit contact1.png, soit contact2.png (ce paramètre est défini par le code JavaScript de la page Web et non par l'utilisateur). Dans ce cas, le fichier est téléchargé dans /uxx/http/html/config. Cependant, il semble qu'une fonctionnalité inutilisée subsiste dans le code (probablement issue d'une ancienne version) et si le nom n'est pas l'un des deux (modifié manuellement dans le paramètre de requête), le fichier sera téléchargé dans /ubr/config. Cela permet à l'attaquant de remplacer n'importe quel fichier dans ce dossier. De plus, le code de wwupload semble comporter une certaine purification pour le caractère « / ». Cependant, au lieu de nettoyer correctement le chemin d'accès et d'annuler la requête, il se contente de télécharger le fichier dans /uxx/httpd/html/config. Cela permet un traversement de chemin d'accès, et il est alors possible de remplacer n'importe quel fichier sur l'appareil.

CWE : CWE-20 : Validation incorrecte des entrées

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : H/PR : L/UI : N/S : U/C : H/I : H/A : H7.1

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Utilisation d'un caractère générique (« * » ou « all ») dans la liste de blocage (CVE-2025-41759)

Impact

Il en résulte une situation où la liste de blocage prévue est inefficace, le réseau reste accessible, même si, du point de vue de l'installateur, tout est bloqué.

Description de la vulnérabilité

Un administrateur peut configurer la liste de blocage en utilisant« » ou « all » comme numéro de réseau afin de bloquer tous les réseaux. En réalité, l'utilisation de « »ou « all » n'est pas prise en charge, mais ne génère malheureusement aucune erreur pour l'administrateur. Lorsque ces valeurs sont utilisées, elles sont converties en interne en réseau 0, ce qui signifie qu'aucun réseau n'est bloqué.

CWE : CWE-20 : Validation incorrecte des entrées

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : H/I : N/A : N5.7

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Filtre de passe avec table vide (CVE-2025-41760)

Impact

Cette erreur de configuration pourrait entraîner des accès non autorisés, car le trafic réseau provenant de tous les réseaux est toujours autorisé à passer, même si, du point de vue de l'installateur, tout est bloqué.

Description de la vulnérabilité

L'utilisation d'un filtre Pass avec une table vide est généralement configurée dans l'optique de bloquer tout le trafic afin de sécuriser le système. Dans la pratique, sur cet appareil, une liste Pass vide n'a aucun effet sur le trafic réseau, car elle ne bloque aucune connexion.

CWE : CWE-1059 : Documentation technique insuffisante

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : H/I : N/A : N5.7

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Élévation de privilèges possible (CVE-2025-41761)

Impact

Un attaquant ayant accès au compte de service (par exemple via ssh) peut exploiter cette faille pour obtenir tous les privilèges sur la machine.

Description de la vulnérabilité

L'escalade de privilèges désigne le processus consistant à obtenir des privilèges de niveau supérieur, généralement un accès root, permettant à un attaquant d'effectuer des actions non autorisées. Lorsque sudo est mal configuré pour autoriser l'exécution de certains binaires, il peut être exploité par un attaquant pour élargir son accès à des privilèges supérieurs, compromettant potentiellement l'ensemble du système.

Parmi les binaires que le compte de service est autorisé à exécuter avec sudo, deux d'entre eux – tcpdump et ip – permettent une élévation de privilèges.

CWE : CWE-269 : Gestion inappropriée des privilèges

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : H/I : H/A : H8

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Fuite de secret avec wwwdnload.cgi (CVE-2025-41762)

Impact

La sauvegarde contient plusieurs informations sensibles auxquelles un utilisateur ne devrait pas avoir accès :

  1. Il accède à la liste des comptes de l'interface web et à leurs mots de passe hachés (/ubr/config/user.cfg). Il peut alors tenter de récupérer le mot de passe de ce compte à l'aide d'outils tels que hashcat15 ou johnTheRipper16. Une fois le mot de passe récupéré, il peut alors élever ses privilèges de guest à user/admin.

  2. Il accède à la clé privée BACnet/SC (/ubr/etc/certs/1_srvr- pkey.pem) et à la clé privée HTTPS (/ubr/etc/certs/httpd.pem). Il peut alors usurper l'identité de l'appareil à l'aide de ces clés privées.

Description de la vulnérabilité

Obtenir une sauvegarde en tant qu'utilisateur permet d'accéder à des informations sensibles telles que le mot de passe de l'interface web du compte administrateur et le certificat.

CWE : CWE-200 : Divulgation d'informations sensibles à un acteur non autorisé

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N3.5Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : L/I : N/A : N3.5

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Rôle non vérifié dans wwwdnload.cgi (CVE-2025-41763)

Impact

Un adversaire qui obtient un fichier de sauvegarde peut accéder à de nombreuses informations sensibles. (voir 2.6)

Description de la vulnérabilité

Lorsqu'il était appelé, le point de terminaison wwwdnload.cgi vérifiait uniquement si la session existait dans sa base de données, mais pas le rôle qui lui était associé. Un compte invité pouvait alors télécharger tout ce qu'un utilisateur/administrateur pouvait télécharger en interagissant directement avec ce point de terminaison, y compris les sauvegardes et les demandes de certificats.

CWE : CWE-269 : Gestion inappropriée des privilèges

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N3.5Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : L/I : N/A : N3.5

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Rôle non vérifié dans wwwupdate.cgi (CVE-2025-41764)

Impact

Un adversaire disposant uniquement d'un compte invité/utilisateur peut désormais pousser une mise à jour. Il peut exploiter cette fonctionnalité, par exemple en téléchargeant une mise à jour précédente présentant une vulnérabilité connue afin de l'exploiter par la suite.

Description de la vulnérabilité

Lorsqu'il était appelé, le point de terminaison wwwupdate.cgi vérifiait uniquement si la session existait dans sa base de données, mais pas le rôle qui lui était associé. Un compte invité/utilisateur pouvait alors pousser n'importe quelle mise à jour.

CWE : CWE-269 : Gestion inappropriée des privilèges

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : H/I : H/A : H8

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Rôle non vérifié dans wwwupload.cgi (CVE-2025-41765)

Impact

Un adversaire peut télécharger tous les fichiers qu'un utilisateur/administrateur peut télécharger. Il arrive que bon nombre de ces fichiers téléchargés nécessitent un appel à wwwubr.cgi pour prendre effet et ne soient stockés que dans /tmp. Cependant, un attaquant peut toujours altérer l'interface web en téléchargeant une fausse photo de contact. Il peut également exploiter d'autres vulnérabilités connues sur wwwupload.cgi (4.1.17), en n'ayant accès qu'à un compte invité au lieu d'un compte utilisateur.

Description de la vulnérabilité

Lorsqu'il était appelé, le point de terminaison wwwupload.cgi vérifiait uniquement si la session existait dans sa base de données, mais pas le rôle qui lui était associé. Un compte invité pouvait alors télécharger tout ce qu'un utilisateur/administrateur pouvait télécharger en interagissant directement avec ce point de terminaison, notamment : une image de contact, un certificat pour https, une sauvegarde à restaurer, un pair de serveur, un certificat de serveur BACnet/SC, une clé de serveur BACnet/SC.

CWE : CWE-269 : Gestion inappropriée des privilèges

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N3.5Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : L/PR : L/UI : N/S : U/C : N/I : L/A : N3.5

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour plus de détails, veuillez consulter les notes de mise à jour sur notre site Web.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé cette vulnérabilité au fournisseur.

Références

Débordement de la mémoire tampon lors de l'analyse d'une requête Web (CVE-2025-41766)

Impact

En envoyant une requête HTTP POST spécialement conçue, un attaquant peut écraser un tampon de pile, détourner le flux d'exécution et exécuter son propre code.

L'attaquant a besoin d'un identifiant ou d'un jeton de session valide pour l'utilisateur ou l'administrateur.

Description de la vulnérabilité

Lors de l'analyse des données de requête de la « méthode » : « ubr-network », le code analyse le tableau JSON routingItems contrôlé par l'utilisateur et, pour chaque élément, construit une petite chaîne (str, max. 63 octets), puis la concatène sans condition dans un tampon de pile de taille fixe et importante de 0x8001 octets. Cela entraîne un débordement de la mémoire tampon de la pile, permettant à un attaquant de remplacer l'adresse de retour et, en fin de compte, de détourner le flux d'exécution.

CWE : CWE-787 : Écriture hors limites

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1Firmware UBR (64 Mo)CVSS : 3.1/AV : A/AC : H/PR : L/UI : N/S : U/C : H/I : H/A : H7.1

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Daniel Hulliger du Cyber Defence Campus Zurich d'avoir signalé cette vulnérabilité au fournisseur.

Références

Contournement de signature lors du téléchargement de mise à jour (CVE-2025-41767)

Impact

En exploitant une vulnérabilité permettant de contourner la signature de mise à jour, un attaquant peut compromettre entièrement l'appareil. Cela inclut l'exécution de code en tant qu'administrateur et/ou la modification de tout fichier système. L'attaquant doit disposer d'un compte administrateur sur l'interface Web, soit en obtenant un mot de passe, soit en récupérant un jeton de session. Les jetons de session sur cet appareil n'ont pas de date d'expiration.

La vulnérabilité décrite dans CVE-2025-41772 augmente encore davantage le risque de vol de jetons de session.

Description de la vulnérabilité

Le routeur Universal-BACnet UBR-01 présente une vulnérabilité permettant de contourner la signature de mise à jour. Cela permet à un administrateur ou à un attaquant disposant d'identifiants d'administrateur ou d'une clé de session d'administrateur volée d'exécuter du code à l'aide d'une mise à jour système non fiable et d'obtenir un accès root persistant complet sur l'appareil. Lors du téléchargement d'une mise à jour, la requête http est traitée par wwwupdate.cgi. Le programme cgi prend le paramètre du nom de fichier, effectue une certaine purification pour empêcher les attaques par traversée de chemin et vérifie que les extensions des noms de fichiers sont correctes, mais utilise ensuite le nom de fichier résultant sans autre vérification comme paramètre pour exécuter le programme gpg. En utilisant un nom de fichier tel que « -h f.upd », nous pouvons non seulement contourner les étapes requises pour atteindre la fonction PAppSpawn, mais également nous assurer que le code d'erreur résultant est 0. Ceci est important, car sinon le fichier de mise à jour sera supprimé. Cela nous permet de télécharger un fichier .upd non signé ou non valide dans le dossier /updates/.

CWE : CWE-347 : Vérification inadéquate de la signature cryptographique

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreFirmware UBR (32 Mo)CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8Firmware UBR (64 Mo)CVSS : 3.1/AV : N/AC : L/PR : L/UI : N/S : U/C : H/I : H/A : H8.8

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Daniel Hulliger et Damian Pfammatter du Cyber Defence Campus Zurich d'avoir signalé cette vulnérabilité au fournisseur.

Références

Jeton de session wwwupdate.cgi dans l'URL (CVE-2025-41772)

Impact

L'insertion de jetons de session dans l'URL augmente le risque qu'ils soient interceptés par un attaquant.

Description de la vulnérabilité

Les informations sensibles contenues dans les URL peuvent être enregistrées à divers endroits, notamment dans le navigateur de l'utilisateur, sur le serveur web et sur tout serveur proxy direct ou inverse situé entre les deux points d'extrémité. Les URL peuvent également être affichées à l'écran, ajoutées aux favoris ou envoyées par e-mail par les utilisateurs. Elles peuvent être divulguées à des tiers via l'en-tête Referer lorsque des liens externes sont suivis.

CWE : CWE-598 : Utilisation de la méthode de requête GET avec des chaînes de requête sensibles

Statut du produit

Personnes concernées identifiées

ProduitCVSS-VectorCVSS Base ScoreMicrologiciel UBR (32 Mo)CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:L6.8Micrologiciel UBR (64 Mo)CVSS : 3.1/AV : N/AC : L/PR : L/UI : R/S : U/C : H/I : L/A : L6.8

Corrigé

  • Micrologiciel UBR (32 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (64 Mo) installé sur UBR-01 Mk II

  • Micrologiciel UBR (32 Mo) installé sur UBR-02

  • Micrologiciel UBR (64 Mo) installé sur UBR-02

  • Micrologiciel UBR (32 Mo) installé sur UBR-LON

  • Micrologiciel UBR (64 Mo) installé sur UBR-LON

Remédiations

Correction du fournisseur (05/11/2025 à 11h00)

MBS GmbH a officiellement publié une nouvelle version du micrologiciel UBR V6.0.1.0 qui corrige la vulnérabilité décrite.

Pour les groupes :

  • Produits fixes.

https://en.mbs-solutions.de/firmwareupdate-router

Remerciements

  • Nous remercions Daniel Hulliger et Damian Pfammatter du Cyber Defense Campus Zurich pour avoir signalé cette vulnérabilité au fournisseur.

Références

Remerciements

MBS GmbH remercie les parties suivantes pour leurs efforts :

  • Nous remercions Adrien Rey, du Cyber Defense Campus Zurich, pour avoir signalé plusieurs vulnérabilités au fournisseur.

  • Nous remercions Daniel Hulliger d'Armasuisse d'avoir signalé cette vulnérabilité au fournisseur.

LICENCE

Créateur csaf

#{[TODO][SHOULD][REMOVE]}# Link to repository: CERT@VDE CSAF Template © 2025 by CERT@VDE is licensed under CC BY-NC 4.0

Cette note ne peut être supprimée que dans le but de créer un avis CSAF basé sur ce modèle.

MBS GmbH

Espace de noms : https://en.mbs-solutions.de

Téléphone : +49 2151 7294-0 | E-mail : info@mbs-solutions.de

MBS GmbH est responsable de la correction de toute vulnérabilité liée aux produits ou services MBS.

Références

Historique des révisions

VersionDate de la révisionRésumé de la révision1.0.02025-11-28T11:00:00.000ZCréation initiale du document sous forme de brouillon.1.0.12025-12-17T13:00:00.000ZAjout de vulnérabilités

Règles de partage

TLP:WHITE
Pour la version TLP, veuillez consulter : https://www.first.org/tlp/

Clause de non-responsabilité

MBS GmbH | Römerstraße 15 | 47809 Krefeld, Allemagne Directeurs généraux : Gerhard Memmen-Krüger, Melanie Loy, Nils-Gunnar Fritz Tribunal d'enregistrement : Krefeld HRB 3337 Numéro d'identification TVA : DE 120 148 529

Obligation d'information conformément à l'article 13 du RGPD