VU#887923: Kiwire Captive Port... Заметка

VU#887923: Kiwire Captive Portal содержит 3 веб-уязвимости

В Kiwire Captive Portal, решении для гостевого Wi-Fi от SynchroWeb, обнаружено три критические уязвимости. К ним относятся SQL-инъекция в параметре nas-id, позволяющая скомпрометировать базу данных. Уязвимость открытой переадресации существует в параметре login-url, позволяя перенаправлять на вредоносные сайты. Кроме того, в параметре login-url присутствует уязвимость отраженного межсайтового скриптинга (XSS), позволяющая выполнять JavaScript. Уязвимость SQL-инъекции, CVE-2025-11188, позволяет злоумышленникам извлекать конфиденциальные данные из базы данных. CVE-2025-11190, открытая переадресация, может заманить пользователей на контролируемые злоумышленниками веб-сайты. Уязвимость XSS, CVE-2025-11189, позволяет выполнять JavaScript на устройствах, пытающихся войти в систему. Поставщик устранил все три уязвимости. Пользователям затронутых версий Kiwire Captive Portal настоятельно рекомендуется обновиться до последней версии. Консультация по безопасности доступна на веб-сайте SynchroWeb. SynchroWeb также свяжется с затронутыми пользователями для оказания помощи в установке исправлений.