Sicherheitslücken in Software von Kunbus
- Warnmeldung
Die CSBW warnt vor mehreren teils kritischen Schwachstellen in der Webanwendung PiCtory und dem Betriebssystem Revolution Pi OS des Unternehmens Kunbus. Kunbus stellt für PiCtory Updates und für Revolution Pi OS Mitigationsmaßnahmen bereit.
© Adobe Stock
Updates beheben nur einen Teil der Lücken
Das deutsche Unternehmen Kunbus veröffentlichte bereits am 2. April 2025 zwei Sicherheitshinweise zu den folgenden teils kritischen Schwachstellen in PiCtory und Revolution Pi OS:
- CVE-2025-24522 mit dem höchsten CVSS-Score von 10/10 kennzeichnet eine fehlende Authentifizierung am Node-RED-Server des Revolution Pi OS.
- CVE-2025-32011 mit einem CVSS-Score von 9.8/10 ermöglicht Angreifenden, durch Path Traversal die Authentifizierungsmechanismen der Versionen 2.5.0 bis 2.11.1 von PiCtory zu umgehen.
- CVE-2025-35996 mit einem CVSS-Score von 9.0/10 betrifft alle PiCtory-Versionen bis einschließlich 2.11.1. Die Stored-Cross-Site-Scripting-Schwachstelle (XSS) ermöglicht Angreifenden, Schadcode einzuschleusen.
- CVE-2025-36558 mit einem CVSS-Score 6.1/10 betrifft alle PiCtory-Versionen bis einschließlich 2.11.1. Die Reflected-Cross-Site-Scripting-Schwachstelle (XSS) ermöglicht Angreifenden ebenfalls, Schadcode einzuschleusen.
Zu den Sicherheitslücken in PiCtory veröffentlichte Kunbus entsprechende Updates. Zu Revolution Pi OS stellte das Unternehmen bisher nur Mitigationsmaßnahmen im unten verlinkten Sicherheitshinweis zu CVE-2025-24522 bereit.
PiCtory und Revolution Pi OS sind Software-Komponenten von Industrial-Control-Systemen (ICS).
Empfehlungen
- Installieren Sie umgehend die PiCtory-Version 2.12.
- Beachten Sie die Mitigationsmaßnahmen für Revolution Pi OS im unten verlinkten Sicherheitshinweis zu CVE-2025-24522.