| Produkt | CHARX SEC-3000 <= 1.6.5 CHARX SEC-3000 < 1.7.3 CHARX SEC-3050 <= 1.6.5 CHARX SEC-3050 < 1.7.3 CHARX SEC-3100 <= 1.6.5 CHARX SEC-3100 < 1.7.3 CHARX SEC-3150 <= 1.6.5 CHARX SEC-3150 < 1.7.3 |
| Numer CVE | CVE-2025-24003 |
| Krytyczność | 8.2/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
| Opis | Nieuwierzytelniony zdalny atakujący może wykorzystać wiadomości MQTT do wywołania zapisu poza zakresem na stacjach ładowania zgodnych z niemieckim prawem kalibracyjnym, co może skutkować utratą integralności tylko w przypadku EichrechtAgents i potencjalną odmową usługi dla tych stacji. |
| Numer CVE | CVE-2025-24005 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Lokalny atakujący z lokalnym kontem użytkownika może wykorzystać podatny skrypt za pośrednictwem protokołu SSH, aby zwiększyć uprawnienia do konta root z powodu nieprawidłowej walidacji danych wejściowych. |
| Numer CVE | CVE-2025-24006 |
| Krytyczność | 7.8/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Lokalny atakujący z niskimi uprawnieniami może wykorzystać niezabezpieczone uprawnienia za pośrednictwem protokołu SSH na zainfekowanych urządzeniach, aby zwiększyć uprawnienia do poziomu roota. |
| Numer CVE | CVE-2025-24002 |
| Krytyczność | 5.3/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Opis | Nieuwierzytelniony zdalny atakujący może wykorzystać wiadomości MQTT do zawieszenia usługi na stacjach ładowania zgodnych z niemieckim prawem kalibracyjnym, co spowoduje tymczasową odmowę świadczenia usług tym stacjom do czasu ich ponownego uruchomienia przez organ nadzorujący. |
| Numer CVE | CVE-2025-24004 |
| Krytyczność | 5.2/10 |
| CVSS | AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L |
| Opis | Osoba atakująca fizycznie, która ma dostęp do wyświetlacza urządzenia przez USB-C, może wysłać do urządzenia wiadomość, która uruchamia niezabezpieczoną kopię do bufora, powodując utratę integralności i tymczasową odmowę świadczenia usług przez stacje do momentu ich ponownego uruchomienia przez moduł nadzorujący. |
| Aktualizacja | TAK |
| Link | https://certvde.com/en/advisories/VDE-2025-014/ |
| Produkt | AXC F 1152 < 2025.0.2 AXC F 2152 < 2025.0.2 AXC F 3152 < 2025.0.2 BPC 9102S < 2025.0.2 RFC 4072S < 2025.0.2 |
| Numer CVE | CVE-2025-41666 |
| Krytyczność | 8.8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Zdalny atakujący o niskich uprawnieniach i dostępie do plików może zastąpić kluczowy plik używany przez moduł nadzorujący, aby uzyskać dostęp do odczytu, zapisu i wykonywania dowolnego pliku na urządzeniu po zainicjowaniu modułu nadzorującego. |
| Numer CVE | CVE-2025-41667 |
| Krytyczność | 8.8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Zdalny atakujący o niskich uprawnieniach i dostępie do plików może zastąpić kluczowy plik używany przez skrypt arp-preinit, aby uzyskać dostęp do odczytu, zapisu i wykonywania dowolnego pliku na urządzeniu. |
| Numer CVE | CVE-2025-41668 |
| Krytyczność | 8.8/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Zdalny atakujący o niskich uprawnieniach i dostępie do plików może zastąpić kluczowy plik lub folder używany przez profil zabezpieczeń usługi, aby uzyskać dostęp do odczytu, zapisu i wykonywania dowolnego pliku na urządzeniu. |
| Numer CVE | CVE-2025-41665 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
| Opis | Zdalny atakujący z niskimi uprawnieniami może wymusić na systemie nadzorującym zainfekowane urządzenia ponowne uruchomienie sterownika PLC z powodu nieprawidłowych domyślnych uprawnień pliku konfiguracyjnego. |
| Aktualizacja | TAK |
| Link | https://certvde.com/en/advisories/VDE-2025-054/ |
| Produkt | CHARX SEC-3000 < 1.7.3 CHARX SEC-3050 < 1.7.3 CHARX SEC-3100 < 1.7.3 CHARX SEC-3150 < 1.7.3 |
| Numer CVE | CVE-2025-25270 |
| Krytyczność | 9.8/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Nieuwierzytelniony zdalny atakujący może zmienić konfigurację urządzenia w taki sposób, aby umożliwić zdalne wykonanie kodu z uprawnieniami użytkownika root przy użyciu określonych konfiguracji. |
| Numer CVE | CVE-2025-25268 |
| Krytyczność | 8.8/10 |
| CVSS | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Nieuwierzytelniony atakujący może zmodyfikować konfigurację, wysyłając określone żądania do punktu końcowego interfejsu API, co spowoduje dostęp do odczytu i zapisu z powodu braku uwierzytelnienia. |
| Numer CVE | CVE-2025-25271 |
| Krytyczność | 8.8/10 |
| CVSS | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Niezalogowany atakujący jest w stanie skonfigurować nowe zaplecze OCPP dzięki niebezpiecznym domyślnym ustawieniom interfejsu konfiguracyjnego. |
| Numer CVE | CVE-2025-25269 |
| Krytyczność | 8.4/10 |
| CVSS | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Niezalogowany lokalny atakujący może wstrzyknąć polecenie, które następnie zostanie wykonane jako root, co doprowadzi do eskalacji uprawnień. |
| Aktualizacja | TAK |
| Link | https://certvde.com/en/advisories/VDE-2025-019/ |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny