Platform
other
Component
deviceon-iedge
Opgelost in
2.0.3
CVE-2025-62630 beschrijft een Path Traversal kwetsbaarheid in DeviceOn/iEdge, een platform voor IoT-apparaatbeheer. Deze kwetsbaarheid stelt aanvallers in staat om directories te doorlopen en potentieel remote code execution te verkrijgen met systeemrechten door een speciaal ontworpen configuratiebestand te uploaden. De kwetsbaarheid treft versies 0 tot en met 2.0.2 van DeviceOn/iEdge. Een fix is beschikbaar in versie 2.0.3.
De impact van deze Path Traversal kwetsbaarheid is significant. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden en directories op het DeviceOn/iEdge systeem. Daarnaast kan de aanvaller, met systeemrechten, willekeurige code uitvoeren, waardoor de integriteit en vertrouwelijkheid van het gehele IoT-apparaat en de verbonden systemen in gevaar komen. Dit kan resulteren in data-exfiltratie, systeemcompromittering en potentieel de controle over het apparaat. De mogelijkheid tot remote code execution verhoogt de ernst van de kwetsbaarheid aanzienlijk, waardoor de aanvaller volledige controle kan overnemen.
Op dit moment is er geen publieke exploitatie van CVE-2025-62630 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-11-06. De CVSS score van 8.8 (HIGH) duidt op een potentieel hoog risico. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven. Het is aannemelijk dat deze kwetsbaarheid in de toekomst kan worden misbruikt, vooral gezien de mogelijkheid tot remote code execution.
Organizations deploying DeviceOn/iEdge in environments with limited network segmentation or lacking robust file upload security controls are at heightened risk. Systems handling sensitive data or critical infrastructure are particularly vulnerable. Shared hosting environments utilizing DeviceOn/iEdge should be assessed for potential cross-tenant impact.
disclosure
Exploit Status
EPSS
0.18% (40% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-62630 is het updaten van DeviceOn/iEdge naar versie 2.0.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de uploadmogelijkheden voor configuratiebestanden en het implementeren van strikte toegangscontroles op gevoelige directories. Het configureren van een Web Application Firewall (WAF) met regels om verdachte bestandspaden te blokkeren kan ook helpen. Controleer de configuratie van DeviceOn/iEdge op onnodige permissies en beperk deze waar mogelijk. Na de upgrade, verifieer de fix door te proberen een configuratiebestand te uploaden met een pad dat buiten de toegestane directory valt.
Actualice DeviceOn/iEdge a una versión posterior a 2.0.2 que corrija la vulnerabilidad de path traversal. Consulte el sitio web de Advantech para obtener la última versión y las instrucciones de actualización. Aplique las configuraciones de seguridad recomendadas por el proveedor para mitigar el riesgo de ejecución remota de código.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62630 is a HIGH severity vulnerability allowing attackers to traverse directories in DeviceOn/iEdge versions 0.0-2.0.2, potentially leading to remote code execution.
If you are using DeviceOn/iEdge versions 0.0 through 2.0.2, you are potentially affected by this vulnerability.
Upgrade DeviceOn/iEdge to version 2.0.3 or later to remediate the vulnerability. Consider temporary workarounds like restricting file uploads if immediate upgrading is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the official DeviceOn security advisory for detailed information and updates regarding CVE-2025-62630.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.