CRITICAL✓ PATCH🇬🇧 English

CVE-2025-34256

Advantech WISE-DeviceOn Server — hardcoded klucz JWT umożliwia pełne przejęcie systemu

CVSS 10.0v4.0pub. 2025-12-05upd. 2026-04-15

Advantech WISE-DeviceOn Server w wersjach wcześniejszych niż 5.4 zawiera statyczny, hardcoded klucz kryptograficzny HS512 używany do podpisywania tokenów JWT (EIRMMToken) we wszystkich instalacjach. Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne sfałszowanie tokenu JWT i przejęcie dowolnego konta, w tym konta administratora root.

Pokaż oryginał (EN)

Advantech WISE-DeviceOn Server versions prior to 5.4 contain a hard-coded cryptographic key vulnerability. The product uses a static HS512 HMAC secret for signing EIRMMToken JWTs across all installations. The server accepts forged JWTs that need only contain a valid email claim, allowing a remote unauthenticated attacker to generate arbitrary tokens and impersonate any DeviceOn account, including the root super admin. Successful exploitation permits full administrative control of the DeviceOn instance and can be leveraged to execute code on managed agents through DeviceOn’s remote management features.

🤖 Analiza AI
Jak działa

We wszystkich instalacjach produktu stosowany jest identyczny, statyczny sekret HMAC HS512 do podpisywania tokenów JWT typu EIRMMToken. Serwer akceptuje tokeny JWT, które zawierają jedynie prawidłowe pole 'email' — atakujący może samodzielnie wygenerować poprawnie podpisany token bez znajomości żadnych danych uwierzytelniających. Ponieważ klucz jest identyczny we wszystkich instalacjach (hardcoded), exploit działa przeciwko każdemu serwerowi WISE-DeviceOn w wersji podatnej. Uzyskany token pozwala podszyć się pod dowolne konto, w tym konto super administratora (root).

Skutki

Atakujący uzyskuje pełną kontrolę administracyjną nad instancją WISE-DeviceOn, co umożliwia mu wykonanie kodu na zarządzanych urządzeniach agenckich poprzez wbudowane funkcje zdalnego zarządzania platformy.

Mitygacja

Należy niezwłocznie zaktualizować Advantech WISE-DeviceOn Server do wersji 5.4 lub nowszej, zgodnie z zaleceniami producenta opublikowanymi w Security Advisory SECURITY-ADVISORY----DeviceOn-20251208-2. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do serwera WISE-DeviceOn wyłącznie do zaufanych adresów IP na poziomie firewall.

Kogo dotyczy

Advantech WISE-DeviceOn Server w wersjach wcześniejszych niż 5.4

Uwagi

Podatność została opisana publicznie przez badaczy z pellera.com oraz VulnCheck. Producent opublikował Security Advisory w dniu 2025-12-08. Wektor ataku jest w pełni zdalny, nieautoryzowany i nie wymaga interakcji użytkownika (CVSS 10.0).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Advantech Wise Deviceon Server

    APP
    Advantech
    < 5.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-34257MEDIUM5.1ten sam produkt

Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...

CVE-2025-34258MEDIUM5.1ten sam produkt

Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...

CVE-2025-34259MEDIUM5.1ten sam produkt

Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...

CVE-2025-34260MEDIUM5.1ten sam produkt

Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...

CVE-2025-34261MEDIUM5.1ten sam produkt

Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...