Katalog CVE

CVE-2025-67039

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 - wyżej niż 24% wszystkich znanych CVE

Streszczenie

W urządzeniu Lantronix EDS3000PS w wersji 3.1.0.0R2 wykryto podatność umożliwiającą ominięcie uwierzytelniania na stronach zarządzania. Wystarczy dodać określony sufiks do adresu URL oraz wysłać nagłówek Authorization z nazwą użytkownika 'admin'.

Ocena ryzyka

Osoba atakująca może uzyskać nieautoryzowany dostęp do panelu administracyjnego urządzenia, co może prowadzić do przejęcia kontroli nad urządzeniem sieciowym i potencjalnego naruszenia bezpieczeństwa całej sieci.

Rekomendacja

Należy niezwłocznie zaktualizować oprogramowanie urządzenia Lantronix EDS3000PS do najnowszej dostępnej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania tylko do zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in Lantronix EDS3000PS 3.1.0.0R2. The authentication on management pages can be bypassed by appending a specific suffix to the URL and by sending an Authorization header that uses "admin" as the username.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS