Plataforma
other
Componente
ctrlx-os-device-admin
Corregido en
1.12.10
1.20.8
2.6.9
CVE-2025-24350 describe una vulnerabilidad de escritura arbitraria de certificados en la funcionalidad 'Certificados y Claves' de la aplicación web de ctrlX OS. Esta falla permite a un atacante autenticado, con privilegios bajos, escribir certificados en ubicaciones arbitrarias del sistema de archivos. La vulnerabilidad afecta a las versiones 1.12.0 hasta la 2.6.8 de ctrlX OS y se ha solucionado en la versión 2.6.9.
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante comprometer la integridad del sistema ctrlX OS. Al poder escribir certificados arbitrarios, un atacante podría potencialmente instalar certificados maliciosos que permitan el acceso no autorizado a recursos protegidos, la suplantación de identidad o la intercepción de comunicaciones. El impacto se amplifica si el sistema ctrlX OS se utiliza para controlar procesos críticos o interactúa con otros sistemas, ya que un certificado comprometido podría servir como punto de entrada para ataques posteriores. Aunque requiere autenticación, la necesidad de privilegios bajos facilita la explotación para usuarios con acceso limitado al sistema.
CVE-2025-24350 fue publicado el 30 de abril de 2025. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (escritura arbitraria de archivos) la convierte en un objetivo atractivo para atacantes. La baja barrera de entrada (requiere autenticación con privilegios bajos) aumenta la probabilidad de explotación. No se encuentra en el KEV de CISA ni se han identificado pruebas de concepto públicas.
Organizations utilizing ctrlX OS Device Admin in industrial control systems or other critical infrastructure environments are particularly at risk. Environments with weak authentication controls or shared user accounts are also more vulnerable. Any deployment relying on the integrity of certificates managed through the Device Admin web application should be considered at risk.
disclosure
Estado del Exploit
EPSS
0.26% (49% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-24350 es actualizar a la versión 2.6.9 de ctrlX OS, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la funcionalidad 'Certificados y Claves' a usuarios autorizados y revisar periódicamente los certificados instalados en busca de anomalías. Implementar controles de acceso estrictos y auditorías de seguridad puede ayudar a detectar y prevenir la explotación. No existen parches de seguridad previos a la versión 2.6.9, por lo que la actualización es la única solución definitiva.
Actualice ctrlX OS a una versión posterior a 1.12.9, 1.20.7 o 2.6.8, según corresponda, para mitigar la vulnerabilidad. Esto evitará que atacantes autenticados con pocos privilegios escriban certificados arbitrarios en el sistema de archivos. Consulte el aviso de seguridad de Bosch para obtener más detalles e instrucciones específicas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24350 is a high-severity vulnerability allowing a remote, authenticated attacker to write arbitrary certificates to any file system path within the ctrlX OS Device Admin web application, impacting versions 1.12.0–2.6.8.
You are affected if you are running ctrlX OS Device Admin versions 1.12.0 through 2.6.8. Assess your environment immediately to determine if you are vulnerable.
Upgrade to ctrlX OS Device Admin version 2.6.9 or later to remediate the vulnerability. Implement temporary workarounds if an immediate upgrade is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability’s ease of exploitation warrants immediate attention.
Refer to the official ctrlX OS security advisory for detailed information and guidance regarding CVE-2025-24350. Check the ctrlX OS website for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.