Удаленный неаутентифицированный злоумышленник может использовать сертификаты по умолчанию для генерации JWT-токенов и получить полный досту…
Удаленный неаутентифицированный злоумышленник может использовать сертификаты по умолчанию для генерации JWT-токенов и получить полный доступ к инструменту и всем подключенным устройствам [1]. Уязвимость возникает из-за того, что система устанавливает одинаковые сертификаты для подписи JWT-токенов на всех установках вместо генерации уникальных. Это позволяет любому, кто имеет общий ключ, создавать действительные токены и выдавать себя за пользователей. Рекомендуется обновить WAGO Device Sphere до версии 1.0.1. Источники: - [1] https://cert.vde.com/en/advisories/VDE-2025-057 - [2] https://wago.csaf-tp.certvde.com/.well-known/csaf/white/2025/vde-2025-057.json
Продукт инициализирует или задаёт ресурс со значением по умолчанию, которое предполагается изменить установщиком, администратором или специалистом по сопровождению продукта, однако это значение по умолчанию не является безопасным.
https://cwe.mitre.org/data/definitions/1188.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →