CVE-2025-34256 in WISE-DeviceOn Server
Sumário
de VulDB • 11/05/2026
As versões do Advantech WISE-DeviceOn Server anteriores à 5.4 contêm uma vulnerabilidade de chave criptográfica codificada estaticamente (hard-coded). O produto utiliza um segredo HMAC HS512 estático para assinar tokens JWT EIRMMToken em todas as instalações. O servidor aceita tokens JWT forjados que precisam conter apenas uma reivindicação (claim) de e-mail válida, permitindo que um atacante remoto não autenticado gere tokens arbitrários e se passe por qualquer conta do DeviceOn, incluindo o super administrador root. A exploração bem-sucedida permite o controle administrativo total da instância do DeviceOn e pode ser utilizada para executar código nos agentes gerenciados por meio dos recursos de gerenciamento remoto do DeviceOn.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.