Uso de claves integradas en el código en productos de Welotec
- EG400Mk2-D11001-000101, versiones anteriores a 1.7.7;
- EG400Mk2-D11001-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG400Mk2-D11101-000101, versiones anteriores a 1.7.7;
- EG400Mk2-D11101-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-A11001-000101, versiones anteriores a 1.7.7;
- EG500Mk2-A11001-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-A11001-000201, versiones anteriores a 1.7.7;
- EG500Mk2-A11001-000201, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-A11101-000101, versiones anteriores a 1.7.7;
- EG500Mk2-A11101-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-A12011-000101, versiones anteriores a 1.7.7;
- EG500Mk2-A12011-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-A21101-000101, versiones anteriores a 1.7.7;
- EG500Mk2-A21101-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-B11001-000101, versiones anteriores a 1.7.7;
- EG500Mk2-B11001-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-B11101-000101, versiones anteriores a 1.7.7;
- EG500Mk2-B11101-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-C11001-000101, versiones anteriores a 1.7.7;
- EG500Mk2-C11001-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG500Mk2-C11101-000101, versiones anteriores a 1.7.7;
- EG500Mk2-C11101-000101, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG503L, versiones anteriores a 1.7.7;
- EG503L, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG503L_4GB, versiones anteriores a 1.7.7;
- EG503L_4GB, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG503L-G, versiones anteriores a 1.7.7;
- EG503L-G, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG503W, versiones anteriores a 1.7.7;
- EG503W, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG503W_4GB, versiones anteriores a 1.7.7;
- EG503W_4GB, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG602L, versiones anteriores a 1.7.7;
- EG602L, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG602W, versiones anteriores a 1.7.7;
- EG602W, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG603L Mk2, versiones anteriores a 1.7.7;
- EG603L Mk2, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG603W Mk2, versiones anteriores a 1.7.7;
- EG603W Mk2, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG802W, versiones anteriores a 1.7.7;
- EG802W, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG802W_i7_512GB_DinRail, versiones anteriores a 1.7.7;
- EG802W_i7_512GB_DinRail, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG802W_i7_512GB_w/o DinRail, versiones anteriores a 1.7.7;
- EG802W_i7_512GB_w/o DinRail, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG804W, versiones anteriores a 1.7.7;
- EG804W, versión 1.8.0 y versiones anteriores a 1.8.2;
- EG804W Pro, versiones anteriores a 1.7.7;
- EG804W Pro, versión 1.8.0 y versiones anteriores a 1.8.2.
CERT@VDE ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante remoto no autenticado eludir la autenticación e identificarse como un usuario legítimo, incluso, con permisos de administrador, lo que le permitiría modificar la configuración, actualizar el firmware, resetear el dispositivo y acceder a logs confidenciales.
Actualizar la versión de firmware del producto.
La clave secreta JWT está integrada en el backend de egOS WebGUI y es accesible para los usuarios predeterminados. Un atacante remoto no autenticado puede generar tokens HS256 válidos y, de esta forma, eludir la autenticación simplemente con usar la clave criptográfica integrada en el código.
Se ha asignado el identificador CVE-2025-41702 para esta vulnerabilidad.
