Er is een kritiek beveiligingslek gevonden, aangeduid als CVE-2025-7390, in de Softing OPC UA C++ SDK en gerelateerd aan edge producten edgeConnector en edgeAggregator. Dit lek kan ertoe leiden dat een aanvaller de certificaatcontrole van een opc.https server kan omzeilen, zelfs wanneer deze is geconfigureerd om alleen beveiligde communicatie toe te staan.
Overzicht
Met een CVSS-score van 9.1 wordt CVE-2025-7390 als kritiek geclassificeerd. De kwetsbaarheid maakt het mogelijk voor een kwaadwillende klant om de client certificaat verificatie te omzeilen, zonder dat hiervoor enige interactie of bevoegdheden nodig zijn. Deze kwetsbaarheid beïnvloedt systemen die draaien op Windows, Linux, en VxWorks bij gebruik van de OPC UA C++ SDK tot en met versie 6.80, evenals de edgeConnector en edgeAggregator tot en met release 2025.03 op Linux-platforms.
Aanbevelingen
- Update de OPC UA C++ SDK naar versie V6.80.1. Deze service-patch verhelpt het probleem.
- Controleer updates van Softing voor edgeConnector en edgeAggregator.
Bronnen
- Details OPC UA C++ SDK op de officiële website
- edgeConnector product informatie
- edgeAggregator product informatie
- Gedetailleerd CVE-2025-7390 rapport
Vraag en Antwoord
Wat is CVE-2025-7390?
Het betreft een kritieke kwetsbaarheid waarbij een aanvaller de certificaatcontrole kan omzeilen op een opc.https server.
Welke systemen zijn kwetsbaar voor CVE-2025-7390?
Systemen met de OPC UA C++ SDK tot versie 6.80, en de producten edgeConnector en edgeAggregator tot versione 2025.03, op Windows, Linux en VxWorks zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, upgrade naar OPC UA C++ SDK V6.80.1 om deze kwetsbaarheid aan te pakken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten de certificaatcontrole omzeilen, waardoor mogelijk ongeoorloofde toegang tot systemen kan worden verkregen.
