平台
other
组件
ctrlx-os-device-admin
修复版本
1.12.10
1.20.8
2.6.9
CVE-2025-24350 描述了 ctrlX OS Device Admin Web 应用程序中“证书和密钥”功能存在的一个漏洞。该漏洞允许经过身份验证的低权限攻击者通过精心构造的 HTTP 请求在任意文件系统路径中写入证书,从而可能导致未经授权的访问或系统篡改。受影响的版本包括 1.12.0 到 2.6.8。已发布补丁版本 2.6.9,建议尽快升级。
此漏洞的影响非常严重,攻击者可以利用它来在系统中植入恶意证书,从而绕过身份验证机制,获取对 ctrlX OS 设备的未经授权的访问权限。攻击者可能能够读取、修改甚至删除敏感数据,并可能进一步控制受影响的设备。由于该漏洞需要身份验证,但攻击者只需要低权限,因此攻击面相对较广,潜在影响范围较大。如果攻击者成功控制了证书,他们可以模拟合法用户,执行恶意操作,甚至完全接管设备。
该漏洞已于 2025 年 4 月 30 日公开披露。目前尚无公开的利用程序 (PoC),但由于漏洞的严重性和相对简单的利用方式,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录,但其高危评级表明存在潜在的利用风险。建议密切关注安全社区的动态,及时采取应对措施。
Organizations utilizing ctrlX OS Device Admin in industrial control systems or other critical infrastructure environments are particularly at risk. Environments with weak authentication controls or shared user accounts are also more vulnerable. Any deployment relying on the integrity of certificates managed through the Device Admin web application should be considered at risk.
disclosure
漏洞利用状态
EPSS
0.26% (49% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 ctrlX OS Device Admin 升级到 2.6.9 或更高版本。如果升级不可行,可以考虑以下临时缓解措施:限制对“证书和密钥”功能的访问,仅允许授权用户进行证书管理。实施严格的输入验证,防止攻击者构造恶意 HTTP 请求。监控系统日志,查找任何异常的证书写入活动。在 Web 应用防火墙 (WAF) 中配置规则,以检测和阻止尝试写入任意文件系统路径的请求。
Actualice ctrlX OS a una versión posterior a 1.12.9, 1.20.7 o 2.6.8, según corresponda, para mitigar la vulnerabilidad. Esto evitará que atacantes autenticados con pocos privilegios escriban certificados arbitrarios en el sistema de archivos. Consulte el aviso de seguridad de Bosch para obtener más detalles e instrucciones específicas.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-24350 是 ctrlX OS Device Admin Web 应用程序中“证书和密钥”功能存在的一个漏洞,允许攻击者写入任意文件系统路径中的证书。
如果您运行 ctrlX OS Device Admin 的 1.12.0–2.6.8 版本,则可能受到影响。请尽快升级到 2.6.9 或更高版本。
升级到 ctrlX OS Device Admin 2.6.9 或更高版本是修复此漏洞的最佳方法。
目前尚无公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 ctrlX OS 官方网站或安全公告页面,查找有关 CVE-2025-24350 的详细信息。