CVE-2025-27845
KrytyczneStreszczenie
W wersjach przed 3.3.4 kontrolera sieciowego ESPEC North America, nieprawidłowe żądania uwierzytelnienia do /api/v4/auth/ prowadzą do ujawnienia sekretu JWT. To umożliwia uzyskanie podwyższonych uprawnień do interfejsu użytkownika.
Ocena ryzyka
Ujawnienie sekretu JWT stwarza ryzyko nieautoryzowanego dostępu do systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację kontrolera sieciowego do wersji 3.3.4 lub nowszej oraz monitorowanie logów uwierzytelnienia w celu wykrycia potencjalnych prób nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
In ESPEC North America Web Controller 3 before 3.3.4, /api/v4/auth/ with any invalid authentication request results in exposing a JWT secret. This allows for elevated permissions to the UI.

