Plateforme
other
Composant
deviceon-iedge
Corrigé dans
2.0.3
La vulnérabilité CVE-2025-62630 est une faille de traversal de chemin (Path Traversal) affectant DeviceOn/iEdge, versions comprises entre 0 et 2.0.2. Cette faille permet à un attaquant d'exploiter une absence de validation adéquate des fichiers de configuration téléchargés, ouvrant la voie à l'exécution de code à distance avec des privilèges système. La mise à jour vers la version 2.0.3 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est significatif. Un attaquant capable de télécharger un fichier de configuration malveillant peut potentiellement accéder à des fichiers sensibles stockés sur le système DeviceOn/iEdge, modifier des configurations critiques, voire exécuter du code arbitraire avec des privilèges système. Cela pourrait conduire à une compromission complète du système, à la perte de données, et à une prise de contrôle de l'appareil. L'exécution de code à distance avec des privilèges système permettrait à l'attaquant de se déplacer latéralement au sein du réseau et d'accéder à d'autres ressources.
La vulnérabilité CVE-2025-62630 a été rendue publique le 6 novembre 2025. Il n'y a pas d'indications d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un fichier de configuration malveillant et de la complexité potentielle de l'exploitation. Des preuves de concept (PoC) publiques ne sont pas encore disponibles, mais la nature de la vulnérabilité la rend potentiellement exploitable.
Organizations deploying DeviceOn/iEdge in environments with limited network segmentation or lacking robust file upload security controls are at heightened risk. Systems handling sensitive data or critical infrastructure are particularly vulnerable. Shared hosting environments utilizing DeviceOn/iEdge should be assessed for potential cross-tenant impact.
disclosure
Statut de l'Exploit
EPSS
0.18% (percentile 40%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour DeviceOn/iEdge vers la version 2.0.3 ou supérieure, qui corrige la vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les droits d'accès aux répertoires de configuration, en implémentant une validation stricte des fichiers téléchargés, et en surveillant attentivement les journaux système pour détecter toute activité suspecte. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les tentatives d'exploitation. Après la mise à jour, vérifiez l'intégrité des fichiers de configuration et assurez-vous que les journaux d'accès sont correctement configurés pour détecter les tentatives d'accès non autorisées.
Actualice DeviceOn/iEdge a una versión posterior a 2.0.2 que corrija la vulnerabilidad de path traversal. Consulte el sitio web de Advantech para obtener la última versión y las instrucciones de actualización. Aplique las configuraciones de seguridad recomendadas por el proveedor para mitigar el riesgo de ejecución remota de código.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62630 is a HIGH severity vulnerability allowing attackers to traverse directories in DeviceOn/iEdge versions 0.0-2.0.2, potentially leading to remote code execution.
If you are using DeviceOn/iEdge versions 0.0 through 2.0.2, you are potentially affected by this vulnerability.
Upgrade DeviceOn/iEdge to version 2.0.3 or later to remediate the vulnerability. Consider temporary workarounds like restricting file uploads if immediate upgrading is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the official DeviceOn security advisory for detailed information and updates regarding CVE-2025-62630.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.