Remote Code Execution in URVE Web Manager (SYSS-2025-034/-035)

Eine Verkettung von Schwachstellen in der Webanwendung URVE Web Manager führt zu einer unauthentifizierten Remote Code Execution (RCE). Dabei wird eine Server-Side Request Forgery (SSRF)-Schwachstelle genutzt, um einen IP-Filter zu umgehen. Der Hersteller hat diesen Filter implementiert, um einen Endpunkt vor externem Zugriff zu schützen. Der betroffene Endpunkt enthält eine Funktion mit OS Command Injection-Schwachstelle. Die Umgehung des Filters führt damit über die OS Command Injection zu einer RCE und damit zur Kompromittierung des Servers.

Die Schwachstelle wurde laut Hersteller geschlossen. Die SySS GmbH konnte dies nicht verifizieren.

Es wird empfohlen, die Anwendung zu aktualisieren und die betroffenen Endpunkte vor Zugriff zu schützen.

Detaillierte Informationen zu diesen gefundenen Schwachstellen finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

• SYSS-2025-034 (CVE-2025-36846)
• SYSS-2025-035 (CVE-2025-36845)

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.