CVE-2025-68435

CRÍTIC (9,1)

CVSS3: 0,0

Zerobyte és una eina d’automatització de còpies de seguretat. Les versions de Zerobyte anteriors a la 0.18.5 i la 0.19.0 contenen una vulnerabilitat d’omissió d’autenticació on el middleware d’autenticació no s’aplica correctament als punts finals de l’API. Això fa que certs punts finals de l’API siguin accessibles sense credencials de sessió vàlides. Això és perillós per a aquells que han exposat Zerobyte per ser utilitzat fora de la seva xarxa interna. S’ha aplicat una correcció tant a la versió 0.19.0 com a la 0.18.5.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• nicotsx zerobyte < 0.18.5

Remediació
Si no és possible l’actualització immediata, restringiu l’accés de xarxa a la instància de Zerobyte només a xarxes de confiança mitjançant regles de tallafocs o segmentació de xarxa. Això només és una mitigació temporal; es recomana fermament l’actualització. Vegeu-ne les Referències.

Referències

• https://github.com/nicotsx/zerobyte/security/advisories/GHSA-x539-c98q-38gv
• https://github.com/nicotsx/zerobyte/issues/161
• https://github.com/nicotsx/zerobyte/commit/13e080a18967705bd2b4e110e5f7693fdca1c692
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/67xxx/CVE-2025-67494.json