Platform
other
Component
vapix-device-configuration-framework
Opgelost in
12.4.0
CVE-2025-0358 beschrijft een Privilege Escalation kwetsbaarheid in de VAPIX Device Configuration framework van Axis. Deze kwetsbaarheid stelt een minder bevoorrechte gebruiker in staat om ongeautoriseerd administratorrechten te verkrijgen, wat potentieel ernstige gevolgen kan hebben voor de beveiliging van het apparaat. De kwetsbaarheid treft Axis apparaten draaiend op versies 12.0.0 tot en met 12.4.0. Een patch is beschikbaar in versie 12.4.0.
Een succesvolle exploitatie van CVE-2025-0358 kan een aanvaller volledige controle geven over een Axis apparaat. Dit omvat de mogelijkheid om configuratie-instellingen te wijzigen, firmware te updaten (met kwaadaardige code), en toegang te krijgen tot gevoelige gegevens die op het apparaat zijn opgeslagen of via het apparaat worden verwerkt. De impact kan zich uitstrekken tot het gehele netwerk als het gecompromitteerde apparaat als gateway of andere kritieke rol fungeert. Hoewel er momenteel geen publieke exploits beschikbaar zijn, is de mogelijkheid tot privilege escalatie inherent riskant en vereist onmiddellijke aandacht.
CVE-2025-0358 werd ontdekt tijdens een periodieke penetratietest uitgevoerd door Truesec namens Axis Communication. De kwetsbaarheid is momenteel niet opgenomen in de CISA KEV catalogus, en er is geen EPSS score bekend. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven. De publicatie van de CVE vond plaats op 2 juni 2025.
Organizations utilizing Axis devices with the VAPIX Device Configuration framework in versions 12.0.0 through 12.4.0 are at risk. This includes deployments in surveillance systems, building management systems, and other applications where Axis devices are integrated. Legacy configurations with default or weak passwords are particularly vulnerable.
disclosure
Exploit Status
EPSS
0.18% (40% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-0358 is het updaten van de Axis VAPIX Device Configuration framework naar versie 12.4.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de VAPIX interface via een firewall of WAF. Implementeer sterke wachtwoorden en multi-factor authenticatie voor alle gebruikersaccounts. Controleer de audit logs op verdachte activiteiten die kunnen wijzen op een poging tot exploitatie. Na de upgrade, bevestig de correcte werking door de configuratie te controleren en te verifiëren dat minder bevoorrechte gebruikers geen administratorrechten kunnen verkrijgen.
Actualice AXIS OS a la versión 12.4.0 o superior. Esta actualización corrige la vulnerabilidad de escalada de privilegios en el framework VAPIX Device Configuration. Consulte el aviso de seguridad de Axis Communications para obtener más detalles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-0358 is a vulnerability allowing a lower-privileged user to gain administrator access on Axis devices running the VAPIX Device Configuration framework.
You are affected if you are using Axis VAPIX Device Configuration framework versions 12.0.0 through 12.4.0.
Upgrade to version 12.4.0 or later to resolve the vulnerability. Implement stricter access controls as an interim measure.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it could be exploited once a PoC is released.
Refer to the official Axis security advisory for detailed information and updates: [https://www.axis.com/support/security-advisories](https://www.axis.com/support/security-advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.