CVE-2025-34256 in WISE-DeviceOn Server
الملخص
بحسب VulDB • 11/05/2026
تحتوي إصدارات Advantech WISE-DeviceOn Server السابقة للإصدار 5.4 على ثغرة مفتاح تشفير ثابت (hard-coded cryptographic key). يستخدم المنتج سر HMAC ثابتًا من نوع HS512 لتوقيع رموز JWT الخاصة بـ EIRMMToken عبر جميع عمليات التثبيت. يقبل الخوادم رموز JWT مزورة لا تحتاج سوى إلى ادعاء بريد إلكتروني صالح، مما يسمح لمهاجم عن بُعد غير مُصادق عليه بتوليد رموز تعسفية والتظاهر بأي حساب على DeviceOn، بما في ذلك حساب المسؤول الفائق (root super admin). يسمح الاستغلال الناجح بالتحكم الإداري الكامل في مثيل DeviceOn ويمكن استغلاله لتنفيذ التعليمات البرمجية على الوكلاء المُدارين من خلال ميزات الإدارة عن بُعد الخاصة بـ DeviceOn.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.