CVE-2025-48952

CRÍTIC (9,4)

CVSS3: 0,0

NetAlertX és un marc de treball de xarxa, escàner de presència i alertes. Abans de la versió 25.6.7, una vulnerabilitat en la lògica d’autenticació permet que els usuaris ometin la verificació de contrasenyes mitjançant hashes màgics SHA-256, a causa d’una comparació poc precisa en PHP. En versions vulnerables de l’aplicació, es fa una comparació de contrasenyes mitjançant l’operador ‘==’ a la línia 40 de front/index.php. Això introdueix un problema de seguretat en què els valors «hash màgic» especialment dissenyats que s’avaluen com a certs en una comparació poc precisa poden ometre l’autenticació. A causa de l’ús de ‘== en lloc del ‘===’ estricte, les diferents cadenes que comencen amb 0e i van seguides només de dígits es poden interpretar com a notació científica (és a dir, zero) i tractar-se com a iguals. Aquest problema pertany a la classe de vulnerabilitat Login Bypass. Els usuaris amb certes contrasenyes «estranyes» que produeixen hashes màgics es veuen particularment afectats. Els serveis que depenen d’aquesta lògica corren el risc d’accés no autoritzat. La versió 25.6.7 corregeix la vulnerabilitat.

Sistemes Afectats

• jokob-sk NetAlertX < 25.6.7

Remediació
La versió 25.6.7 corregeix la vulnerabilitat.Vegeu-ne les referències.

Referències

• https://github.com/jokob-sk/NetAlertX/security/advisories/GHSA-4p4p-vq2v-9489
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/48xxx/CVE-2025-48952.json