Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13114

Опубликовано: 09 июл. 2025
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость платформы сбора, мониторинга и анализа данных в промышленной автоматизации и системах промышленной безопасности Radiflow iSAP Smart Collector связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ ко всем настройкам системы, изменить конфигурации и выполнить произвольный код через REST API

Вендор

Radiflow

Наименование ПО

iSAP Smart Collector

Версия ПО

от 1.20 до 3.02-1 (iSAP Smart Collector)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

The CentOS Project CentOS 7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.cve.org/CVERecord?id=CVE-2025-3498
https://www.cvcn.gov.it/cvcn/cve/CVE-2025-3498

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 37%
0.00158
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-3498

CVSS3: 9.9
nvd
7 месяцев назад

An unauthenticated user with management network access can get and modify the Radiflow iSAP Smart Collector (CentOS 7 - VSAP 1.20) configuration. The device has two web servers that expose unauthenticated REST APIs on the management network (TCP ports 8084 and 8086). An attacker can use these APIs to get access to all system settings, modify the configuration and execute some commands (e.g., system reboot).

github логотип

GHSA-jrmm-gjrx-g69j

CVSS3: 9.9
github
7 месяцев назад

An unauthenticated user with management network access can get and modify the Radiflow iSAP Smart Collector (CentOS 7 - VSAP 1.20) configuration. The device has two web servers that expose unauthenticated REST APIs on the management network (TCP ports 8084 and 8086). An attacker can use these APIs to get access to all system settings, modify the configuration and execute some commands (e.g., system reboot).

EPSS

Процентиль: 37%
0.00158
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2