Katalog CVE

CVE-2025-40948

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

Podatność w urządzeniach RUGGEDCOM ROX pozwala uwierzytelnionemu zdalnemu atakującemu na odczyt dowolnych plików systemu operacyjnego z uprawnieniami roota. Problem wynika z braku walidacji danych wejściowych w interfejsie JSON-RPC serwera WWW.

Ocena ryzyka

Atakujący może uzyskać dostęp do poufnych danych konfiguracyjnych, haseł lub kluczy kryptograficznych, co prowadzi do pełnej kompromitacji urządzenia i sieci przemysłowej.

Rekomendacja

Należy niezwłocznie zaktualizować oprogramowanie RUGGEDCOM ROX do wersji V2.17.1 lub nowszej. Ograniczyć dostęp do interfejsu zarządzania tylko dla zaufanych hostów.

Oryginalny opis (angielski, źródło NVD)

A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.17.1), RUGGEDCOM ROX MX5000RE (All versions < V2.17.1), RUGGEDCOM ROX RX1400 (All versions < V2.17.1), RUGGEDCOM ROX RX1500 (All versions < V2.17.1), RUGGEDCOM ROX RX1501 (All versions < V2.17.1), RUGGEDCOM ROX RX1510 (All versions < V2.17.1), RUGGEDCOM ROX RX1511 (All versions < V2.17.1), RUGGEDCOM ROX RX1512 (All versions < V2.17.1), RUGGEDCOM ROX RX1524 (All versions < V2.17.1), RUGGEDCOM ROX RX1536 (All versions < V2.17.1), RUGGEDCOM ROX RX5000 (All versions < V2.17.1). Affected devices do not properly validate input in the web server's JSON-RPC interface. This could allow an authenticated remote attacker to read arbitrary files from the underlying operating system's filesystem with root privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS