मुफ्त स्कैन करें
HIGHCVE-2025-24350CVSS 7.1

ctrlX OS के वेब एप्लिकेशन की “प्रमाणपत्र और कुंजियाँ” कार्यक्षमता में एक भेद्यता एक दूरस्थ प्रमाणित (कम विशेषाधिकार प्राप्त) हमलावर को मनमाने प्रमाणपत्रों को मनमाने फ़ाइल सिस्टम पथों में लिखने की अनुमति देती है।

प्लेटफ़ॉर्म

other

घटक

ctrlx-os-device-admin

में ठीक किया गया

1.12.10

1.20.8

2.6.9

AI Confidence: highNVDEPSS 0.3%समीक्षित: मई 2026
NVD पर देखें
सहेजें

ctrlX OS डिवाइस एडमिन में एक भेद्यता पाई गई है जो प्रमाणित हमलावरों को मनमाने प्रमाणपत्रों को मनमाने फ़ाइल सिस्टम पथों में लिखने की अनुमति देती है। यह भेद्यता HTTP अनुरोधों के माध्यम से प्रमाणपत्रों को लिखने की क्षमता का शोषण करती है, जिससे संभावित रूप से सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता ctrlX OS डिवाइस एडमिन के संस्करण 1.12.0 से 2.6.8 तक के संस्करणों को प्रभावित करती है। संस्करण 2.6.9 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता एक प्रमाणित हमलावर को मनमाने प्रमाणपत्रों को मनमाने फ़ाइल सिस्टम पथों में लिखने की अनुमति देती है। इसका मतलब है कि हमलावर सिस्टम की पहचान को धोखा देने, संवेदनशील डेटा तक पहुंचने या सिस्टम पर अनधिकृत क्रियाएं करने के लिए प्रमाणपत्रों का उपयोग कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि हमलावर को केवल निम्न विशेषाधिकारों की आवश्यकता होती है। एक सफल शोषण से सिस्टम की सुरक्षा से गंभीर समझौता हो सकता है, जिससे डेटा हानि, सिस्टम डाउनटाइम और प्रतिष्ठा को नुकसान हो सकता है। इस भेद्यता का शोषण अन्य भेद्यताओं के साथ मिलकर किया जा सकता है, जिससे हमलावर को सिस्टम पर अधिक नियंत्रण मिल सकता है।

शोषण संदर्भ

CVE-2025-24350 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं। NVD और CISA ने इस भेद्यता के बारे में कोई जानकारी जारी नहीं की है। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी तक उपलब्ध नहीं है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing ctrlX OS Device Admin in industrial control systems or other critical infrastructure environments are particularly at risk. Environments with weak authentication controls or shared user accounts are also more vulnerable. Any deployment relying on the integrity of certificates managed through the Device Admin web application should be considered at risk.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.26% (49% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H7.1HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकctrlx-os-device-admin
विक्रेताBosch Rexroth AG
प्रभावित श्रेणीमें ठीक किया गया
1.12.0 – 1.12.91.12.10
1.20.0 – 1.20.71.20.8
2.6.0 – 2.6.82.6.9

कमजोरी वर्गीकरण (CWE)

CWE-23

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, ctrlX OS डिवाइस एडमिन को संस्करण 2.6.9 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके प्रमाणपत्र लेखन कार्यक्षमता तक पहुंच को सीमित किया जा सकता है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करके और केवल अधिकृत उपयोगकर्ताओं को प्रमाणपत्रों को संशोधित करने की अनुमति देकर सिस्टम को सुरक्षित किया जा सकता है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्रमाणपत्र लेखन कार्यक्षमता का परीक्षण करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice ctrlX OS a una versión posterior a 1.12.9, 1.20.7 o 2.6.8, según corresponda, para mitigar la vulnerabilidad. Esto evitará que atacantes autenticados con pocos privilegios escriban certificados arbitrarios en el sistema de archivos. Consulte el aviso de seguridad de Bosch para obtener más detalles e instrucciones específicas.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-24350 — मनमाना प्रमाणपत्र लेखन ctrlX OS डिवाइस एडमिन में क्या है?

CVE-2025-24350 ctrlX OS डिवाइस एडमिन में एक भेद्यता है जो प्रमाणित हमलावरों को HTTP अनुरोधों के माध्यम से मनमाने प्रमाणपत्रों को मनमाने फ़ाइल सिस्टम पथों में लिखने की अनुमति देती है।

क्या मैं CVE-2025-24350 से ctrlX OS डिवाइस एडमिन में प्रभावित हूं?

यदि आप ctrlX OS डिवाइस एडमिन के संस्करण 1.12.0 से 2.6.8 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं ctrlX OS डिवाइस एडमिन में CVE-2025-24350 को कैसे ठीक करूं?

CVE-2025-24350 को ठीक करने के लिए, ctrlX OS डिवाइस एडमिन को संस्करण 2.6.9 में अपडेट करें।

क्या CVE-2025-24350 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2025-24350 के सक्रिय रूप से शोषण किए जाने की जानकारी अभी तक उपलब्ध नहीं है।

मैं ctrlX OS के लिए CVE-2025-24350 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

कृपया ctrlX OS की आधिकारिक वेबसाइट पर जाएं या सुरक्षा सलाहकार के लिए उनके सहायता पोर्टल से संपर्क करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें