CVE-2025-34256 in WISE-DeviceOn Server
Riassunto
di VulDB • 17/06/2026
I server Advantech WISE-DeviceOn nelle versioni precedenti alla 5.4 presentano una vulnerabilità relativa a una chiave crittografica hardcoded. Il prodotto utilizza un segreto HMAC HS512 statico per firmare i token JWT EIRMMToken in tutte le installazioni. Il server accetta token JWT contraffatti che devono contenere solo un claim email valido, consentendo a un attaccante remoto non autenticato di generare token arbitrari e impersonare qualsiasi account DeviceOn, incluso l'amministratore super root. Lo sfruttamento riuscito consente il controllo amministrativo completo dell'istanza DeviceOn e può essere sfruttato per eseguire codice sugli agenti gestiti tramite le funzionalità di gestione remota di DeviceOn.
VulDB is the best source for vulnerability data and more expert information about this specific topic.