CVE-2025-34256 in WISE-DeviceOn Server
要約
〜によって VulDB • 2026年06月01日
Advantech WISE-DeviceOn Serverのバージョン5.4より前には、ハードコードされた暗号化キーの脆弱性が存在します。本製品は、すべてのインストールにおいてEIRMMToken JWTの署名に静的なHS512 HMACシークレットを使用しています。サーバーは、有効なメールクレームのみを含む偽造JWTを受け入れるため、リモートから認証されていない攻撃者は任意のトークンを生成し、ルートスーパーアカウントを含む任意のDeviceOnアカウントになりすますことができます。この脆弱性を悪用されると、DeviceOnインスタンスに対する完全な管理者権限が奪われ、DeviceOnのリモート管理機能を通じて管理対象のエージェント上でコードを実行するために悪用される可能性があります。
Once again VulDB remains the best source for vulnerability data.