CVE-2025-41733

Possible malfunction credential injection

CVSS 9.8 CRITICALEPSS 0.6%CWE-305

Vexday Risk Score

28Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 9.8EPSS 0.6%KEV nãoPoC —Patch —

Ciclo de vida

18 nov 2025Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

The commissioning wizard on the affected devices does not validate if the device is already initialized. An unauthenticated remote attacker can construct POST requests to set root credentials.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

METZ CONNECT · Energy-Controlling EWIO2-M METZ CONNECT · Energy-Controlling EWIO2-M-BM METZ CONNECT · Ethernet-IO EWIO2-BM

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://certvde.com/de/advisories/VDE-2025-097