W backendzie interfejsu egOS WebGUI zastosowano statycznie zakodowany klucz tajny JWT, który jest dostępny do odczytu dla domyślnego użytkownika systemu. Nieuwierzytelniony zdalny atakujący może wygenerować własne, poprawne tokeny JWT i całkowicie ominąć mechanizmy uwierzytelniania oraz autoryzacji.
▸ Pokaż oryginał (EN)
The JWT secret key is embedded in the egOS WebGUI backend and is readable to the default user. An unauthenticated remote attacker can generate valid HS256 tokens and bypass authentication/authorization due to the use of hard-coded cryptographic key.
Klucz kryptograficzny używany do podpisywania tokenów JWT algorytmem HS256 jest na stałe wbudowany w kod backendu egOS WebGUI i może zostać odczytany przez domyślnego użytkownika systemu. Znając ten klucz, atakujący może samodzielnie tworzyć dowolne, kryptograficznie poprawne tokeny JWT bez posiadania jakichkolwiek poświadczeń. Serwer weryfikuje podpis tokenu jako prawidłowy, uznając żądanie za uwierzytelnione i autoryzowane.
Atakujący uzyskuje pełny, nieautoryzowany dostęp do interfejsu WebGUI z pominięciem uwierzytelniania i autoryzacji, co może prowadzić do przejęcia kontroli nad urządzeniem, ujawnienia poufnych danych konfiguracyjnych oraz naruszenia integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://certvde.com/de/advisories/VDE-2025-076). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu WebGUI wyłącznie do zaufanych hostów oraz monitorowanie ruchu pod kątem nieautoryzowanych żądań z podejrzanymi tokenami JWT.
Produkty wyposażone w egOS WebGUI — szczegółowe wersje wskazane w referencjach producenta (certvde.com, VDE-2025-076)
Podatność sklasyfikowana jako CWE-321 (Use of Hard-coded Cryptographic Key). Szczegółowe informacje o dotkniętych wersjach i produktach dostępne wyłącznie w poradniku VDE-2025-076 opublikowanym przez CERT@VDE.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H