CVE-2025-34256 in WISE-DeviceOn Serverinfo

Zusammenfassung

von VulDB • 01.06.2026

Advantech WISE-DeviceOn Server-Versionen vor 5.4 enthalten eine Schwachstelle mit einem fest codierten kryptografischen Schlüssel. Das Produkt verwendet ein statisches HS512-HMAC-Geheimnis zum Signieren von EIRMMToken-JWTs (JSON Web Tokens) in allen Installationen. Der Server akzeptiert gefälschte JWTs, die lediglich einen gültigen E-Mail-Anspruch (Claim) enthalten müssen, wodurch ein entfernter, nicht authentifizierter Angreifer beliebige Tokens generieren und jedes DeviceOn-Konto, einschließlich des Root-Superadministrators, imitieren kann. Eine erfolgreiche Ausnutzung ermöglicht die vollständige administrative Kontrolle der DeviceOn-Instanz und kann zur Codeausführung auf verwalteten Agents über die Remote-Management-Funktionen von DeviceOn genutzt werden.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

VulnCheck

Reservieren

15.04.2025

Veröffentlichung

05.12.2025

Moderieren

akzeptiert

Eintrag

VDB-334534

CPE

bereit

EPSS

0.00604

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!