Advantech WISE-DeviceOn CVE-2025-34256 漏洞总结 漏洞概述 Advantech WISE-DeviceOn 的认证系统存在硬编码密钥漏洞(CVE-2025-34256)。攻击者可以利用该密钥伪造 JWT 令牌,从而绕过身份验证并冒充合法用户。 影响范围 受影响产品:Advantech WISE-DeviceOn V5.3.12 及更早版本 受影响组件: 攻击条件:攻击者需猜测或暴力破解出以 为前缀的超级管理员邮箱地址 修复方案 升级至修复该漏洞的版本 修改硬编码密钥,使用动态生成的安全密钥 加强身份验证机制,防止 JWT 伪造 利用代码 (POC) 解码后的 JWT 内容: 攻击后果 成功利用此漏洞后,攻击者可以: 更改所有服务器设置,包括备份和恢复位置 添加任意账户 直接执行任意代码在已连接的设备上 通过上传恶意应用执行任意代码