Plateforme
other
Composant
ctrlx-os-device-admin
Corrigé dans
1.12.10
1.20.8
2.6.9
La vulnérabilité CVE-2025-24350 affecte la fonctionnalité « Certificats et Clés » de l’application web ctrlX OS. Elle permet à un attaquant authentifié, même avec des privilèges limités, d’écrire des certificats dans des emplacements arbitraires du système de fichiers via une requête HTTP spécialement conçue. Cette faille impacte les versions 1.12.0 à 2.6.8 de ctrlX OS et une correction est disponible dans la version 2.6.9.
Cette vulnérabilité présente un risque significatif car elle permet à un attaquant authentifié de compromettre l'intégrité des certificats utilisés par le système ctrlX OS. L'attaquant pourrait potentiellement injecter des certificats malveillants, contourner les mécanismes d'authentification et d'autorisation, et ainsi obtenir un accès non autorisé à des ressources sensibles. L'impact peut s'étendre à l'ensemble du système, en fonction de l'utilisation des certificats compromis. Un attaquant pourrait également utiliser cette vulnérabilité pour masquer des activités malveillantes ou pour lancer des attaques de l'intérieur du réseau.
La vulnérabilité CVE-2025-24350 a été rendue publique le 30 avril 2025. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de présence sur le KEV de CISA. Aucun proof-of-concept public n'est connu à ce jour, mais la nature de la vulnérabilité (écriture arbitraire de fichiers) suggère qu'un tel PoC pourrait être développé rapidement.
Organizations utilizing ctrlX OS Device Admin in industrial control systems or other critical infrastructure environments are particularly at risk. Environments with weak authentication controls or shared user accounts are also more vulnerable. Any deployment relying on the integrity of certificates managed through the Device Admin web application should be considered at risk.
disclosure
Statut de l'Exploit
EPSS
0.26% (percentile 49%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour ctrlX OS vers la version 2.6.9 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de restreindre l'accès à la fonctionnalité « Certificats et Clés » aux seuls utilisateurs autorisés. Il est également possible de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes HTTP suspectes ciblant cette fonctionnalité. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité inhabituelle liée à la gestion des certificats.
Actualice ctrlX OS a una versión posterior a 1.12.9, 1.20.7 o 2.6.8, según corresponda, para mitigar la vulnerabilidad. Esto evitará que atacantes autenticados con pocos privilegios escriban certificados arbitrarios en el sistema de archivos. Consulte el aviso de seguridad de Bosch para obtener más detalles e instrucciones específicas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-24350 is a high-severity vulnerability allowing a remote, authenticated attacker to write arbitrary certificates to any file system path within the ctrlX OS Device Admin web application, impacting versions 1.12.0–2.6.8.
You are affected if you are running ctrlX OS Device Admin versions 1.12.0 through 2.6.8. Assess your environment immediately to determine if you are vulnerable.
Upgrade to ctrlX OS Device Admin version 2.6.9 or later to remediate the vulnerability. Implement temporary workarounds if an immediate upgrade is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability’s ease of exploitation warrants immediate attention.
Refer to the official ctrlX OS security advisory for detailed information and guidance regarding CVE-2025-24350. Check the ctrlX OS website for updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.