CVE-2025-34256 in WISE-DeviceOn Server
Zusammenfassung
von VulDB • 01.06.2026
Advantech WISE-DeviceOn Server-Versionen vor 5.4 enthalten eine Schwachstelle mit einem fest codierten kryptografischen Schlüssel. Das Produkt verwendet ein statisches HS512-HMAC-Geheimnis zum Signieren von EIRMMToken-JWTs (JSON Web Tokens) in allen Installationen. Der Server akzeptiert gefälschte JWTs, die lediglich einen gültigen E-Mail-Anspruch (Claim) enthalten müssen, wodurch ein entfernter, nicht authentifizierter Angreifer beliebige Tokens generieren und jedes DeviceOn-Konto, einschließlich des Root-Superadministrators, imitieren kann. Eine erfolgreiche Ausnutzung ermöglicht die vollständige administrative Kontrolle der DeviceOn-Instanz und kann zur Codeausführung auf verwalteten Agents über die Remote-Management-Funktionen von DeviceOn genutzt werden.
If you want to get best quality of vulnerability data, you may have to visit VulDB.