Impatto Sistemico

Alto (72.82)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2025-63207, che riguarda la Web GUI nei prodotti TEX di R.V.R Elettronica, trasmettitori FM compatti. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di effettuare richieste non autenticate per la modifica delle credenziali sui sistemi interessati.

Tipologia

• Security Feature Bypass

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la

CVE-2025-63207 – di tipo “Broken Access Control“ e con score CVSS v3.1 pari a 9.8 – che riguarda la Web GUI, e potrebbe consentire a un utente malintenzionato di inviare richieste POST non autenticate, modificando le credenziali di amministratore, operatore e utente, compromettendo completamente i sistemi interessati.

La vulnerabilità è causata da una mancata autenticazione dell’endpoint _Passwd.html consentendo modifiche non autorizzate delle password per gli account Admin, Operator e User. In dettaglio, il sistema accetta la richiesta e aggiorna le password senza autenticazione. Qualsiasi utente può autenticarsi usando le nuove credenziali e prendere pieno controllo del dispositivo.

Prodotti e versioni affette

R.V.R Elettronica TEX

• versione firmware TEXL-000400 – versione Web GUI TLAN-000400

Azioni di mitigazione

Ove non provveduto, si raccomanda di seguire le indicazioni riportate nella sezione Riferimenti.