ICS-CERT informuje o nowych podatnościach w produktach firmy Advantech. (P25-401)

cert.pse-online.pl 6 dni temu

Produkt	DeviceOn/iEdge: wersja 2.0.2 i starsze
Numer CVE	CVE-2025-64302
Krytyczność	6.4/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Opis	Niedostateczne oczyszczanie danych wejściowych w etykiecie lub ścieżce pulpitu nawigacyjnego może umożliwić atakującemu wywołanie błędu urządzenia skutkującego ujawnieniem informacji lub manipulacją danymi.

Numer CVE	CVE-2025-62630
Krytyczność	8.8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	W przypadku niewystarczającej dezynfekcji atakujący może przesłać specjalnie spreparowany plik konfiguracyjny, który będzie mógł przeglądać katalogi i umożliwiać zdalne wykonanie kodu z uprawnieniami na poziomie systemu.

Numer CVE	CVE-2025-59171
Krytyczność	7.5/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Opis	Luka w zabezpieczeniach urządzenia umożliwia nieuwierzytelnionemu atakującemu odczytanie dowolnych plików lub ominięcie uwierzytelniania.

Numer CVE	CVE-2025-58423
Krytyczność	8.8/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	W przypadku niewystarczającej dezynfekcji atakujący może przesłać specjalnie spreparowany plik konfiguracyjny, aby wywołać stan odmowy usługi, przechodzić przez katalogi lub odczytywać/zapisywać pliki w kontekście lokalnego konta systemowego.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01