Plataforma
other
Componente
deviceon-iedge
Corrigido em
2.0.3
A vulnerabilidade CVE-2025-62630 é uma falha de Path Traversal identificada no DeviceOn/iEdge, afetando versões de 0 a 2.0.2. Explorando essa falha, um atacante pode enviar arquivos de configuração especialmente criados para navegar pelo sistema de arquivos e, potencialmente, obter execução remota de código com permissões de nível de sistema. A correção para esta vulnerabilidade está disponível na versão 2.0.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a arquivos e diretórios no sistema DeviceOn/iEdge. Ao enviar um arquivo de configuração malicioso, o atacante pode contornar as verificações de segurança e acessar dados confidenciais, modificar configurações do sistema ou até mesmo executar comandos arbitrários com privilégios elevados. O impacto potencial é significativo, podendo levar à comprometimento total do dispositivo e à exfiltração de dados sensíveis. A capacidade de execução remota de código amplia o escopo do ataque, permitindo que o atacante estabeleça uma presença persistente no sistema e lance ataques adicionais.
A vulnerabilidade CVE-2025-62630 foi publicada em 2025-11-06. Atualmente, não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas. A pontuação CVSS de 8.8 (ALTO) indica um risco significativo, e a possibilidade de execução remota de código torna esta vulnerabilidade uma prioridade para correção.
Organizations deploying DeviceOn/iEdge in environments with limited network segmentation or lacking robust file upload security controls are at heightened risk. Systems handling sensitive data or critical infrastructure are particularly vulnerable. Shared hosting environments utilizing DeviceOn/iEdge should be assessed for potential cross-tenant impact.
disclosure
Status do Exploit
EPSS
0.18% (percentil 40%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-62630 é a atualização imediata para a versão 2.0.3 do DeviceOn/iEdge. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à funcionalidade de upload de arquivos de configuração apenas a usuários autorizados e implementar controles de validação de entrada mais rigorosos para garantir que os arquivos carregados sejam seguros. Monitore os logs do sistema em busca de tentativas de acesso não autorizado ou atividades suspeitas relacionadas ao upload de arquivos. Após a atualização, confirme a correção verificando se a funcionalidade de upload de arquivos está agora devidamente protegida contra ataques de Path Traversal.
Actualice DeviceOn/iEdge a una versión posterior a 2.0.2 que corrija la vulnerabilidad de path traversal. Consulte el sitio web de Advantech para obtener la última versión y las instrucciones de actualización. Aplique las configuraciones de seguridad recomendadas por el proveedor para mitigar el riesgo de ejecución remota de código.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62630 is a HIGH severity vulnerability allowing attackers to traverse directories in DeviceOn/iEdge versions 0.0-2.0.2, potentially leading to remote code execution.
If you are using DeviceOn/iEdge versions 0.0 through 2.0.2, you are potentially affected by this vulnerability.
Upgrade DeviceOn/iEdge to version 2.0.3 or later to remediate the vulnerability. Consider temporary workarounds like restricting file uploads if immediate upgrading is not possible.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests a potential for rapid exploitation.
Refer to the official DeviceOn security advisory for detailed information and updates regarding CVE-2025-62630.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.