Er is een ernstige kwetsbaarheid ontdekt in de webapplicatie van iSTAR Ultra-producten van Johnson Controls. Door middel van een OS-command-injectie kan een geauthenticeerde aanvaller verhoogde rechten (‘root’-toegang) verkrijgen tot de firmware van het apparaat. Hierdoor kan een aanvaller zonder uw weten toegang krijgen tot het hele systeem.
Deze kwetsbaarheid, aangeduid als CVE-2025-53695, heeft een CVSS-score van 9.4 en wordt als kritiek geclassificeerd. Het vereist hoge priviliges voor de aanvaller, maar geen gebruikersinteractie, en kan worden misbruikt via netwerkverbindingen.
Overzicht
De kwetsbaarheid is een gevolg van onjuiste neutralisatie van speciale elementen in OS-commando’s (CWE-78) en heeft directe impact op de vertrouwelijkheid, integriteit, en beschikbaarheid van het systeem.
Aanbevelingen
- Beperk het aantal gebruikers met uitgebreide privileges en controleer de beveiligingsinstellingen van uw systemen regelmatig.
- Update uw iSTAR Ultra-producten naar de nieuwste firmware zodra deze beschikbaar is.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53695?
Dit is een gerapporteerde kwetsbaarheid in iSTAR Ultra-producten als gevolg van OS-command-injectie die potentieel ernstige gevolgen kan hebben.
Welke systemen zijn kwetsbaar voor CVE-2025-53695?
Alle iSTAR Ultra-producten met firmware versie 6.9.2 of lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Bij publicatie was er nog geen patch beschikbaar, maar gebruikers wordt aangeraden voortdurend updates van de leverancier te controleren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan volledige controle over het systeem krijgen met root-rechten, wat ernstige gevolgen kan hebben voor de systemen en gegevensintegriteit.
