CVE-2025-34256 in WISE-DeviceOn Serverinformazioni

Riassunto

di VulDB • 17/06/2026

I server Advantech WISE-DeviceOn nelle versioni precedenti alla 5.4 presentano una vulnerabilità relativa a una chiave crittografica hardcoded. Il prodotto utilizza un segreto HMAC HS512 statico per firmare i token JWT EIRMMToken in tutte le installazioni. Il server accetta token JWT contraffatti che devono contenere solo un claim email valido, consentendo a un attaccante remoto non autenticato di generare token arbitrari e impersonare qualsiasi account DeviceOn, incluso l'amministratore super root. Lo sfruttamento riuscito consente il controllo amministrativo completo dell'istanza DeviceOn e può essere sfruttato per eseguire codice sugli agenti gestiti tramite le funzionalità di gestione remota di DeviceOn.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

05/12/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00604

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!