آسیبپذیری CVE-2025-41702 با شدت 9.8 یک ضعف امنیتی بحرانی در رابط وب EgOS WebGUI است که به دلیل وجود کلید مخفی JWT بهصورت Hard-Coded در بخش Backend ایجاد شده است. این کلید برای کاربر پیشفرض قابل مشاهده بوده و باعث میشود یک مهاجم از راه دور بدون نیاز به احراز هویت بتواند توکنهای معتبر HS256 تولید کند. در نتیجه، مهاجم قادر خواهد بود فرآیندهای احراز هویت و مجوزدهی را دور بزند و به دادهها و بخشهای حساس سیستم دسترسی غیرمجاز پیدا کند. این آسیبپذیری میتواند منجر به افشای اطلاعات محرمانه، تغییر پیکربندیها و کنترل کامل سیستم شود.
محصولات تحتتأثیر
-
EgOS WebGUI (نسخههایی که کلید JWT در Backend آنها Hard-Coded قرار دارد)
توصیههای امنیتی
- بهروزرسانی فوری به نسخهای که این آسیبپذیری برطرف شده است.
- تغییر و بازتولید کلید JWT با مقادیر تصادفی و امن.
- حذف هرگونه کلید Hard-Coded از کد Backend.
- اعمال محدودیت دسترسی به کاربر پیشفرض یا غیرفعالسازی آن.
- مانیتورینگ لاگها و شناسایی هرگونه استفاده مشکوک از توکنهای JWT.
منبع خبر:
- 25