Platform
other
Component
ctrlx-os-device-admin
Opgelost in
1.12.10
1.20.8
2.6.9
CVE-2025-24350 beschrijft een kwetsbaarheid in de ‘Certificaten en Sleutels’ functionaliteit van de webapplicatie van ctrlX OS - Device Admin. Een geauthenticeerde, maar niet-bevoegde aanvaller kan hierdoor willekeurige certificaten schrijven op willekeurige locaties in het bestandssysteem. Deze kwetsbaarheid treft versies 1.12.0 tot en met 2.6.8 van ctrlX OS - Device Admin. Een fix is beschikbaar in versie 2.6.9.
Deze kwetsbaarheid stelt een aanvaller in staat om, nadat authenticatie is voltooid, willekeurige certificaten op willekeurige locaties in het bestandssysteem van het systeem te schrijven. Dit kan leiden tot een compromittering van de integriteit van het systeem, aangezien de aanvaller mogelijk valse certificaten kan installeren en gebruiken. De impact is verhoogd omdat de aanvaller geen hoge privileges nodig heeft om de kwetsbaarheid te misbruiken. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot resources en diensten die afhankelijk zijn van de certificaten.
Op dit moment is er geen publieke exploitatie van CVE-2025-24350 bekend. De kwetsbaarheid is openbaar gemaakt op 30 april 2025. De EPSS score is nog niet bekend. Er zijn geen indicaties van actieve campagnes die deze kwetsbaarheid misbruiken, maar het is aannemelijk dat deze in de toekomst onderzocht zal worden door aanvallers.
Organizations utilizing ctrlX OS Device Admin in industrial control systems or other critical infrastructure environments are particularly at risk. Environments with weak authentication controls or shared user accounts are also more vulnerable. Any deployment relying on the integrity of certificates managed through the Device Admin web application should be considered at risk.
disclosure
Exploit Status
EPSS
0.26% (49% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van ctrlX OS - Device Admin naar versie 2.6.9 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de schrijfrechten voor de webapplicatiegebruiker. Controleer de bestandsrechten op certificaten om te verzekeren dat alleen geautoriseerde gebruikers deze kunnen wijzigen. Implementeer een WAF (Web Application Firewall) met regels die verdachte HTTP-verzoeken blokkeren die gericht zijn op de ‘Certificaten en Sleutels’ functionaliteit.
Actualice ctrlX OS a una versión posterior a 1.12.9, 1.20.7 o 2.6.8, según corresponda, para mitigar la vulnerabilidad. Esto evitará que atacantes autenticados con pocos privilegios escriban certificados arbitrarios en el sistema de archivos. Consulte el aviso de seguridad de Bosch para obtener más detalles e instrucciones específicas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-24350 is a high-severity vulnerability allowing a remote, authenticated attacker to write arbitrary certificates to any file system path within the ctrlX OS Device Admin web application, impacting versions 1.12.0–2.6.8.
You are affected if you are running ctrlX OS Device Admin versions 1.12.0 through 2.6.8. Assess your environment immediately to determine if you are vulnerable.
Upgrade to ctrlX OS Device Admin version 2.6.9 or later to remediate the vulnerability. Implement temporary workarounds if an immediate upgrade is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability’s ease of exploitation warrants immediate attention.
Refer to the official ctrlX OS security advisory for detailed information and guidance regarding CVE-2025-24350. Check the ctrlX OS website for updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.