Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10389

Опубликовано: 25 авг. 2025
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость веб-интерфейса операционной системы egOS промышленных устройств Welotec связана с использованием жестко закодированного криптографического ключа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности и получить несанкционированный доступ к устройству путем создания HS256-токенов

Вендор

Welotec GmbH

Наименование ПО

EG400Mk2
EG500Mk2
EG503L
EG503L-G
EG503L_4GB
EG503W
EG503W_4GB
EG602L
EG602W
EG603L Mk2
EG603W Mk2
EG802W
EG802W_i7_512GB_DinRail
EG802W_i7_512GB_w/o DinRail
EG804W
EG804W Pro
egOS

Версия ПО

- (EG400Mk2)
- (EG500Mk2)
- (EG503L)
- (EG503L-G)
- (EG503L_4GB)
- (EG503W)
- (EG503W_4GB)
- (EG602L)
- (EG602W)
- (EG603L Mk2)
- (EG603W Mk2)
- (EG802W)
- (EG802W_i7_512GB_DinRail)
- (EG802W_i7_512GB_w/o DinRail)
- (EG804W)
- (EG804W Pro)
до 1.7.7 (egOS)
до 1.8.2 (egOS)

Тип ПО

ПО сетевого программно-аппаратного средства
Операционная система

Операционные системы и аппаратные платформы

Welotec GmbH egOS до 1.7.7
Welotec GmbH egOS до 1.8.2

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к веб-интерфейсу управления уязвимого устройства;
- ограничение доступа из внешних сетей (Интернет);
- сегментирование сети для ограничения доступа к веб-интерфейсу управления уязвимого устройства;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://certvde.com/de/advisories/VDE-2025-076/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00213
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-41702

CVSS3: 9.8
nvd
6 месяцев назад

The JWT secret key is embedded in the egOS WebGUI backend and is readable to the default user. An unauthenticated remote attacker can generate valid HS256 tokens and bypass authentication/authorization due to the use of hard-coded cryptographic key.

github логотип

GHSA-6498-6rj5-p7pf

CVSS3: 9.8
github
6 месяцев назад

The JWT secret key is embedded in the egOS WebGUI backend and is readable to the default user. An unauthenticated remote attacker can generate valid HS256 tokens and bypass authentication/authorization due to the use of hard-coded cryptographic key.

EPSS

Процентиль: 44%
0.00213
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2