CVE-2025-34239

Опубликовано: 06 нояб. 2025

Источник: nvd

CVSS3: 7.2

EPSS Низкий

Описание

Advantech WebAccess/VPN versions prior to 1.1.5 contain a command injection vulnerability in AppManagementController.appUpgradeAction() that allows an authenticated system administrator to execute arbitrary commands as the web server user (www-data) by supplying a crafted uploaded filename.

Ссылки

https://icr.advantech.com/download/software
Product
https://icr.advantech.com/support/router-models/download/511/sa-2025-01-vpn-portal-2025-11-06.pdf
Release Notes
https://www.vulncheck.com/advisories/advantech-webaccess-vpn-command-injection-in-appmanagementcontroller
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:advantech:webaccess\/vpn:*:*:*:*:*:*:*:*

Версия до 1.1.5 (исключая)

EPSS

Процентиль: 47%

0.00242

Низкий

7.2 High

CVSS3

Дефекты

CWE-78

Связанные уязвимости

GHSA-v7qq-g7hw-pj84

CVSS3: 7.2

github

3 месяца назад

BDU:2025-13988

CVSS3: 7.2

fstec

3 месяца назад

Уязвимость функции AppManagementController.appUpgradeAction() программного обеспечения удаленного мониторинга с возможностями виртуальной частной сети Advantech WebAccess/VPN, позволяющая нарушителю выполнять произвольные команды от имени пользователя веб-сервера (www-data)

EPSS

Процентиль: 47%

0.00242

Низкий

7.2 High

CVSS3

Дефекты

CWE-78