CRITICAL🇬🇧 English

CVE-2025-52694

SQL Injection w produktach Advantech IoT Suite — nieuwierzytelniony RCE

CVSS 10.0v3.1pub. 2026-01-12upd. 2026-01-26

Krytyczna podatność typu SQL injection w produktach Advantech IoT Suite umożliwia nieuwierzytelnionemu zdalnemu atakującemu wykonanie dowolnych poleceń SQL na podatnym serwisie. Błąd otrzymał maksymalny wynik CVSS 10.0, co czyni go podatnością najwyższego priorytetu.

Pokaż oryginał (EN)

Successful exploitation of the SQL injection vulnerability could allow an unauthenticated remote attacker to execute arbitrary SQL commands on the vulnerable service when it is exposed to the Internet, potentially affecting data confidentiality, integrity, and availability. Users and administrators of affected product versions are advised to update to the latest versions immediately.

🤖 Analiza AI
Jak działa

Atakujący bez żadnego uwierzytelnienia może wysłać specjalnie spreparowane żądanie sieciowe do serwisu Advantech IoT Suite wystawionego na dostęp przez Internet. Wstrzyknięte polecenia SQL są następnie wykonywane bezpośrednio przez podatną usługę bez walidacji danych wejściowych. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani specjalnych uprawnień, a jego zasięg wykracza poza komponent, w którym wystąpiła podatność (Scope: Changed).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać te dane, a także potencjalnie doprowadzić do niedostępności usługi — zagrożone są poufność, integralność i dostępność systemu.

Mitygacja

Należy niezwłocznie zaktualizować wszystkie wymienione produkty do najnowszych wersji zgodnie z zaleceniami producenta i informacjami zawartymi w referencjach. Do czasu wdrożenia patcha zaleca się ograniczenie ekspozycji podatnych serwisów na dostęp z Internetu poprzez firewall lub inne mechanizmy kontroli dostępu sieciowego.

Kogo dotyczy

Advantech IoT Edge Linux Docker, Advantech IoT Edge Windows, Advantech IoTSuite Growth Linux Docker, Advantech IoTSuite SaaS Composer, Advantech IoTSuite Starter Linux Docker — konkretne wersje wskazane w referencjach producenta

Uwagi

Podatność opisana w alercie CSA (Cyber Security Agency of Singapore) opublikowanym pod sygnaturą AL-2026-001. Szczególne ryzyko dotyczy instalacji, w których serwis jest bezpośrednio dostępny z Internetu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Advantech Iot Edge Linux Docker

    APP
    Advantech
    < 2.0.2
  • Advantech Iot Edge Windows

    APP
    Advantech
    < 2.0.2
  • Advantech Iotsuite Growth Linux Docker

    APP
    Advantech
    < 2.0.2
  • Advantech Iotsuite Saas Composer

    APP
    Advantech
    < 3.4.15
  • Advantech Iotsuite Starter Linux Docker

    APP
    Advantech
    < 2.0.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-34256CRITICAL10.0PL ✓ten sam vendor

Advantech WISE-DeviceOn Server — hardcoded klucz JWT umożliwia pełne przejęcie systemu

CVE-2022-50592CRITICAL9.3PL ✓ten sam vendor

Advantech iView – Auth Bypass i SQL Injection prowadzące do RCE

CVE-2022-50593CRITICAL9.3PL ✓ten sam vendor

Advantech iView – Auth Bypass + SQL Injection prowadzące do RCE

CVE-2022-50595CRITICAL9.3PL ✓ten sam vendor

Advantech iView — Auth Bypass + SQL Injection prowadzący do RCE

CVE-2025-48469CRITICAL9.6PL ✓ten sam vendor

Advantech WISE-40x0 — nieuwierzytelniony upload firmware (Auth Bypass)

CVE-2025-52694 — SQL Injection w produktach Advantech IoT Suite — nieuwierzytelniony RCE — CRITICAL 10.0 | CVEbaza.pl