CVE-2025-34256

CVE

Критический

Advantech WISE-DeviceOn Server versions prior to 5.4 contain a hard-coded cryptographic key vulnerability. The product uses a static HS51…

CVSS

10.0

Критический

EPSS

0.00

p54

Опубликовано

2025-01-01

Обновлено

2025-01-01

Описание

Advantech WISE-DeviceOn Server versions prior to 5.4 contain a hard-coded cryptographic key vulnerability. The product uses a static HS512 HMAC secret for signing EIRMMToken JWTs across all installations. The server accepts forged JWTs that need only contain a valid email claim, allowing a remote unauthenticated attacker to generate arbitrary tokens and impersonate any DeviceOn account, including the root super admin. Successful exploitation permits full administrative control of the DeviceOn instance and can be leveraged to execute code on managed agents through DeviceOn’s remote management features.

Теги · CWE

Без аутентификации

CWE-321

Затронутые продукты

Wise-deviceon_server < 5.4

Вектор CVSS

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Хронология

2025-01-01

Опубликована

2025-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требования к атаке

AT: N

None

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Конфиденциальность уязвимой системы

VC: H

Высокое (H)

Целостность уязвимой системы

VI: H

Высокое (H)

Доступность уязвимой системы

VA: H

Высокое (H)

Конфиденциальность последующей системы

SC: H

Высокое (H)

Целостность последующей системы

SI: H

Высокое (H)

Доступность последующей системы

SA: H

Высокое (H)

Зрелость эксплойт-кода

E: X

Not Defined

Требование конфиденциальности

CR: X

Not Defined

Требование целостности

IR: X

Not Defined

Требование доступности

AR: X

Not Defined

Модифицированный вектор атаки

MAV: X

Not Defined

Модифицированная сложность атаки

MAC: X

Not Defined

Модифицированные требования к атаке

MAT: X

Not Defined

Модифицированные требуемые привилегии

MPR: X

Not Defined

Модифицированное взаимодействие с пользователем

MUI: X

Not Defined

Модифицированная конфиденциальность уязвимой системы

MVC: X

Not Defined

Модифицированная целостность уязвимой системы

MVI: X

Not Defined

Модифицированная доступность уязвимой системы

MVA: X

Not Defined

Модифицированная конфиденциальность последующей системы

MSC: X

Not Defined

Модифицированная целостность последующей системы

MSI: X

Not Defined

Модифицированная доступность последующей системы

MSA: X

Not Defined

S: X

AU: X

R: X

V: X

RE: X

U: X

Индикаторы эксплуатации

EPSS

0.003 · p54

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Уязвимое ПО

Продукт	Вендор	Статус
wise-deviceon_server	*	Отслеживается

Источники данных

CVE

Внешние ссылки

https://advcloudfiles.advantech.com/cms/2ca1b071-fd78-4d7f-8a2a-7b4537a95d19/Security%20Advisory%20PDF%20File/SECURITY-ADVISORY----DeviceOn-20251208-2.pdf@https://docs.deviceon.advantech.com/docs/resource/@https://www.vulncheck.com/advisories/advantech-wise-deviceon-server-hardcoded-jwt-key-authentication-bypass