Katalog CVE

CVE-2025-27845

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach przed 3.3.4 kontrolera sieciowego ESPEC North America, nieprawidłowe żądania uwierzytelnienia do /api/v4/auth/ prowadzą do ujawnienia sekretu JWT. To umożliwia uzyskanie podwyższonych uprawnień do interfejsu użytkownika.

Ocena ryzyka

Ujawnienie sekretu JWT stwarza ryzyko nieautoryzowanego dostępu do systemu, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Rekomendacja

Zaleca się aktualizację kontrolera sieciowego do wersji 3.3.4 lub nowszej oraz monitorowanie logów uwierzytelnienia w celu wykrycia potencjalnych prób nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

In ESPEC North America Web Controller 3 before 3.3.4, /api/v4/auth/ with any invalid authentication request results in exposing a JWT secret. This allows for elevated permissions to the UI.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS