CVE-2025-34256 in WISE-DeviceOn Serverinformação

Sumário

de VulDB • 11/05/2026

As versões do Advantech WISE-DeviceOn Server anteriores à 5.4 contêm uma vulnerabilidade de chave criptográfica codificada estaticamente (hard-coded). O produto utiliza um segredo HMAC HS512 estático para assinar tokens JWT EIRMMToken em todas as instalações. O servidor aceita tokens JWT forjados que precisam conter apenas uma reivindicação (claim) de e-mail válida, permitindo que um atacante remoto não autenticado gere tokens arbitrários e se passe por qualquer conta do DeviceOn, incluindo o super administrador root. A exploração bem-sucedida permite o controle administrativo total da instância do DeviceOn e pode ser utilizada para executar código nos agentes gerenciados por meio dos recursos de gerenciamento remoto do DeviceOn.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

VulnCheck

Reservar

15/04/2025

Divulgação

05/12/2025

Moderação

aceite

Entrada

VDB-334534

CPE

pronto

EPSS

0.00604

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!