CVE-2025-12480

CVSS 9.1 CRITICALEPSS 90.4%● KEVCWE-284

Em resumo

Versões do Triofox anteriores à 16.7.10368.56560 possuem uma falha que permite que atacantes acessem as páginas de configuração inicial mesmo após a instalação estar completa. Isso é perigoso porque essas páginas contêm opções sensíveis de configuração e funções administrativas que deveriam estar disponíveis apenas durante a instalação.

Detalhe técnico

Uma vulnerabilidade de controle de acesso impróprio (CWE-284) no Triofox permite que usuários não autenticados ou não autorizados contornem restrições de acesso e alcancem interfaces de configuração inicial após a implantação. Isso possibilita que atacantes reconfigurem definições do sistema, modifiquem credenciais administrativas ou extraiam dados de configuração sensíveis sem autenticação válida.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Triofox versions prior to 16.7.10368.56560, are vulnerable to an Improper Access Control flaw that allows access to initial setup pages even after setup is complete.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Produtos afetados

TrioFox · TrioFox

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://access.triofox.com/releases_history/https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480 https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2025/MNDT-2025-0008.md https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-12480 https://www.triofox.com/