Eve X1 Server Firmware
Уязвимости
16
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.07679
Распределение по критичности
Критический
9
Высокий
5
Средний
2
Низкий
0
Затронутые диапазоны версий
≤ 4.7.18.0
Также сопоставлено как (исходные строки): eve_x1_server_firmware
Топ уязвимостей
CVE-2025-60738Проблема в Ilevia EVE X1 Server Firmware Version v4.7.18.0.eden и до Logic Version v6.00 - 2025_07_21 и перед помощью удаленного злоумышленника выполнить произвольный код через компонент ping.php не выполняет безопасную фильтрацию по параметрам IP
CVE-2025-60739Уязвимость Cross Site Request Forgery (CSRF) в Ilevia EVE X1 Server Firmware Version v4.7.18.0.eden и раньше, Logic Version v6.00 - 2025_07_21 позволяет удаленному злоумышленнику выполнять произвольный код через компонент /bh_web_backend
CVE-2025-34516Версии прошивки Ilevia EVE X1 Server ≤ 4.7.18.0.eden содержат использование уязвимости учетных данных по умолчанию, которая позволяет неаутентифицированному злоумышленнику получить удаленный доступ. Ilevia отказалась обслуживать эту уязвимость и рекомендует клиентам не подвергать воздействию порта 8080 в Интернете.
CVE-2025-34515Версии прошивки Ilevia EVE X1 Server ≤ 4.7.18.0.eden содержат исполнение с ненужными привилегиями уязвимость в sync_project.sh, что позволяет злоумышленнику нарастить привилегии до корня. Ilevia отказалась обслуживать эту уязвимость и рекомендует клиентам не выставлять порт 8080 в Интернете.
CVE-2025-34513Версии прошивки Ilevia EVE X1 Server ≤ 4.7.18.0.eden содержат уязвимость инъекций команд ОС в mbus_build_from_csv.php, которая позволяет неаутентифицированному злоумышленнику выполнять произвольный код. Ilevia отказалась обслуживать эту уязвимость и рекомендует клиентам не подвергать воздействию порта 8080 в Интернете.
CVE-2025-34187Сервер Ilevia EVE X1/X5 версии ≤ 4.7.18.0.eden содержит неправильную конфигурацию в файле sudoers, которая позволяет выполнять определенные Bash-скрипты без пароля. Если эти скрипты доступны для записи пользователям, обращенным к веб-интерфейсу, или доступны через инъекцию команд, злоумышленники могут заменить их вредоносными payload-ами. Выполнение с помощью sudo предоставляет полный доступ root, что приводит к повышению привилегий и потенциальному компрометации системы [1].
Источники:
- [1] https://packetstorm.news/files/id/209226/
- [2] https://www.vulncheck.com/advisories/ilevia-eve-x1-x5-server-reverse-rootshell
- [3] https://www.zeroscience.mk/en/vulnerabilities/ZSL-2025-5959.php
- [4] https://www.ilevia.com/
CVE-2025-34186Сервер Ilevia EVE X1/X5 версии ≤ 4.7.18.0.eden содержит уязвимость в механизме аутентификации. Необработанный ввод передается в вызов system() для аутентификации, позволяя злоумышленникам внедрять специальные символы и манипулировать разбором команд. Из-за интерпретации бинарным файлом ненулевых кодов выхода как успешной аутентификации, удаленные злоумышленники могут обойти аутентификацию и получить полный доступ к системе [1]. Эта уязвимость позволяет злоумышленникам выполнять команды без надлежащей аутентификации.
Источники:
- [1] https://packetstorm.news/files/id/208871/
- [2] https://www.vulncheck.com/advisories/ilevia-eve-x1-x5-server-auth-bypass
- [3] https://www.zeroscience.mk/en/vulnerabilities/ZSL-2025-5958.php
- [4] https://www.ilevia.com/
CVE-2025-34184Ilevia EVE X1 Server версии ≤ 4.7.18.0.eden содержит уязвимость неаутентифицированного внедрения команд ОС в скрипте /ajax/php/login.php. Злоумышленник может выполнить произвольные команды системы, внедряя полезные нагрузки в HTTP POST-параметр 'passwd', что приводит к полной компрометации системы или отказу в обслуживании.
Источники:
- [1] https://www.ilevia.com/
- [2] https://www.zeroscience.mk/en/vulnerabilities/ZSL-2025-5956.php
- [3] https://packetstorm.news/files/id/207717/
- [4] https://www.vulncheck.com/advisories/ilevia-eve-x1-server-neuro-code-unauth-code-injection
CVE-2025-34183Сервер Ilevia EVE X1 версии ≤ 4.7.18.0.eden содержит уязвимость в механизме ведения журналов на стороне сервера, которая позволяет неаутентифицированным удаленным злоумышленникам извлекать текстовые учетные данные из открытых файлов .log. Эта проблема позволяет полностью обойти аутентификацию и скомпрометировать систему путем повторного использования учетных данных [1].
Источники:
- [1] https://www.ilevia.com/
- [2] https://www.zeroscience.mk/en/vulnerabilities/ZSL-2025-5957.php
- [3] https://packetstorm.news/files/id/208700/
- [4] https://www.vulncheck.com/advisories/ilevia-eve-x1-server-credentials-leak-through-log-disclosure
CVE-2025-34518Версии прошивки Ilevia EVE X1 Server ≤ 4.7.18.0.eden содержат относительную уязвимость в get_file_content.php, которая позволяет злоумышленнику читать произвольные файлы. Ilevia отказалась обслуживать эту уязвимость и рекомендует клиентам не подвергать воздействию порта 8080 в Интернете.
CVE-2025-34517Версии прошивки Ilevia EVE X1 Server ≤ 4.7.18.0.eden содержат абсолютную уязвимость прохождения пути в get_file_content.php, которая позволяет злоумышленнику читать произвольные файлы. Ilevia отказалась обслуживать эту уязвимость и рекомендует клиентам не подвергать порт 8080 в Интернете.
CVE-2025-34514Версии прошивки Ilevia EVE X1 Server ≤ 4.7.18.0.eden содержат аутентифицированные уязвимости инъекций команд ОС в нескольких веб-скриптах PHP, которые вызывают exec() и позволяют аутентифицированному злоумышленнику выполнять произвольные команды. Ilevia отказалась обслуживать эту уязвимость и рекомендует клиентам не подвергать воздействию порта 8080 в Интернете.
CVE-2025-34185Ilevia EVE X1 Server версии ≤ 4.7.18.0.eden содержит уязвимость раскрытия файлов до аутентификации через POST-параметр 'db_log'. Отдалённые злоумышленники могут получить произвольные файлы с сервера, раскрывая конфиденциальную системную информацию и учётные данные. Уязвимость обнаружена Gjoko Krstic из Zero Science Lab [1].
Источники:
- [1] https://www.zeroscience.mk/en/vulnerabilities/ZSL-2025-5955.php
- [2] https://packetstorm.news/files/id/207716/
- [3] https://www.vulncheck.com/advisories/ilevia-eve-x1-server-unauth-file-disclosure
CVE-2025-34519Версии прошивки Ilevia EVE X1 Server ≤ 4.7.18.0.eden содержат небезопасную уязвимость алгоритма хеширования. Продукт хранит пароли, используя хэш-функцию MD5 без применения соли в пароли. Поскольку MD5 - это быстрый, несоленый хеш, злоумышленник, который получает базу данных паролей, может эффективно выполнять автономный словарь, радужный стол или грубую силу. Ilevia отказалась обслуживать эту уязвимость и рекомендует клиентам не выставлять порт 8080 в Интернете.
CVE-2025-60737Уязвимость кросс-сайта в Ilevia EVE X1 Server Firmware Version<= 4.7.18.0.eden:Logic Версия<=6.00 - 2025_07_21 позволяет удаленному злоумышленнику выполнять произвольный код через компонент /index.php
CVE-2025-34512Версии прошивки Ilevia EVE X1 Server ≤ 4.7.18.0.eden содержат отраженную уязвимость кросс-сайтов (XSS) в index.php, которая позволяет неаутентифицированному злоумышленнику выполнять произвольный код. Ilevia отказалась обслуживать эту уязвимость и рекомендует клиентам не подвергать воздействию порта 8080 в Интернете.