Plataforma
other
Componente
ctrlx-os-device-admin
Corrigido em
1.12.10
1.20.8
2.6.9
Uma vulnerabilidade foi descoberta na funcionalidade “Certificados e Chaves” da aplicação web do ctrlX OS. Esta falha permite que um atacante autenticado, mesmo com privilégios limitados, escreva certificados arbitrários em qualquer caminho do sistema de arquivos através de uma requisição HTTP especialmente criada. As versões afetadas são as do ctrlX OS entre 1.12.0 e 2.6.8. A correção está disponível na versão 2.6.9.
A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante comprometa a integridade dos certificados utilizados pelo sistema ctrlX OS. Isso pode levar à interceptação de comunicações, falsificação de identidade e, potencialmente, à execução de código malicioso. Um atacante poderia, por exemplo, substituir certificados válidos por certificados falsos, permitindo o acesso não autorizado a recursos protegidos. A capacidade de escrever em caminhos arbitrários do sistema de arquivos aumenta significativamente o potencial de dano, pois o atacante pode comprometer outros componentes do sistema além do gerenciamento de certificados.
A vulnerabilidade foi publicada em 30 de abril de 2025. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público ou campanhas de exploração ativas no momento da publicação. A severidade da vulnerabilidade é classificada como Alta (CVSS 7.1). É recomendável monitorar a situação e aplicar a correção o mais rápido possível.
Organizations utilizing ctrlX OS Device Admin in industrial control systems or other critical infrastructure environments are particularly at risk. Environments with weak authentication controls or shared user accounts are also more vulnerable. Any deployment relying on the integrity of certificates managed through the Device Admin web application should be considered at risk.
disclosure
Status do Exploit
EPSS
0.26% (percentil 49%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão 2.6.9 do ctrlX OS, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente controles de acesso rigorosos na aplicação web para restringir o acesso à funcionalidade “Certificados e Chaves” apenas a usuários autorizados. Considere a implementação de regras em um Web Application Firewall (WAF) para bloquear requisições HTTP maliciosas que tentem escrever certificados em caminhos não autorizados. Monitore os logs do sistema em busca de tentativas de acesso não autorizado à funcionalidade de gerenciamento de certificados.
Actualice ctrlX OS a una versión posterior a 1.12.9, 1.20.7 o 2.6.8, según corresponda, para mitigar la vulnerabilidad. Esto evitará que atacantes autenticados con pocos privilegios escriban certificados arbitrarios en el sistema de archivos. Consulte el aviso de seguridad de Bosch para obtener más detalles e instrucciones específicas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-24350 is a high-severity vulnerability allowing a remote, authenticated attacker to write arbitrary certificates to any file system path within the ctrlX OS Device Admin web application, impacting versions 1.12.0–2.6.8.
You are affected if you are running ctrlX OS Device Admin versions 1.12.0 through 2.6.8. Assess your environment immediately to determine if you are vulnerable.
Upgrade to ctrlX OS Device Admin version 2.6.9 or later to remediate the vulnerability. Implement temporary workarounds if an immediate upgrade is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability’s ease of exploitation warrants immediate attention.
Refer to the official ctrlX OS security advisory for detailed information and guidance regarding CVE-2025-24350. Check the ctrlX OS website for updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.