Advantech WISE-DeviceOn Server w wersjach wcześniejszych niż 5.4 zawiera statyczny, hardcoded klucz kryptograficzny HS512 używany do podpisywania tokenów JWT (EIRMMToken) we wszystkich instalacjach. Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne sfałszowanie tokenu JWT i przejęcie dowolnego konta, w tym konta administratora root.
▸ Pokaż oryginał (EN)
Advantech WISE-DeviceOn Server versions prior to 5.4 contain a hard-coded cryptographic key vulnerability. The product uses a static HS512 HMAC secret for signing EIRMMToken JWTs across all installations. The server accepts forged JWTs that need only contain a valid email claim, allowing a remote unauthenticated attacker to generate arbitrary tokens and impersonate any DeviceOn account, including the root super admin. Successful exploitation permits full administrative control of the DeviceOn instance and can be leveraged to execute code on managed agents through DeviceOn’s remote management features.
We wszystkich instalacjach produktu stosowany jest identyczny, statyczny sekret HMAC HS512 do podpisywania tokenów JWT typu EIRMMToken. Serwer akceptuje tokeny JWT, które zawierają jedynie prawidłowe pole 'email' — atakujący może samodzielnie wygenerować poprawnie podpisany token bez znajomości żadnych danych uwierzytelniających. Ponieważ klucz jest identyczny we wszystkich instalacjach (hardcoded), exploit działa przeciwko każdemu serwerowi WISE-DeviceOn w wersji podatnej. Uzyskany token pozwala podszyć się pod dowolne konto, w tym konto super administratora (root).
Atakujący uzyskuje pełną kontrolę administracyjną nad instancją WISE-DeviceOn, co umożliwia mu wykonanie kodu na zarządzanych urządzeniach agenckich poprzez wbudowane funkcje zdalnego zarządzania platformy.
Należy niezwłocznie zaktualizować Advantech WISE-DeviceOn Server do wersji 5.4 lub nowszej, zgodnie z zaleceniami producenta opublikowanymi w Security Advisory SECURITY-ADVISORY----DeviceOn-20251208-2. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do serwera WISE-DeviceOn wyłącznie do zaufanych adresów IP na poziomie firewall.
Advantech WISE-DeviceOn Server w wersjach wcześniejszych niż 5.4
Podatność została opisana publicznie przez badaczy z pellera.com oraz VulnCheck. Producent opublikował Security Advisory w dniu 2025-12-08. Wektor ataku jest w pełni zdalny, nieautoryzowany i nie wymaga interakcji użytkownika (CVSS 10.0).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAdvantech Wise Deviceon Server
APPAdvantech< 5.4
Powiązane podatności
Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...
Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...
Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...
Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...
Advantech WISE-DeviceOn Server versions prior to 5.4 contain a stored cross-site scripting (XSS) vulnerability...