CVE-2025-67039
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
W urządzeniu Lantronix EDS3000PS w wersji 3.1.0.0R2 wykryto podatność umożliwiającą ominięcie uwierzytelniania na stronach zarządzania. Wystarczy dodać określony sufiks do adresu URL oraz wysłać nagłówek Authorization z nazwą użytkownika 'admin'.
Ocena ryzyka
Osoba atakująca może uzyskać nieautoryzowany dostęp do panelu administracyjnego urządzenia, co może prowadzić do przejęcia kontroli nad urządzeniem sieciowym i potencjalnego naruszenia bezpieczeństwa całej sieci.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie urządzenia Lantronix EDS3000PS do najnowszej dostępnej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in Lantronix EDS3000PS 3.1.0.0R2. The authentication on management pages can be bypassed by appending a specific suffix to the URL and by sending an Authorization header that uses "admin" as the username.

