CVE-2025-13084

Opto 22 groov View Exposure of Sensitive Information Through Metadata

CVSS 6.1 MEDIUMEPSS 0.2%CWE-1230

Em resumo

A API do groov View expõe as chaves de API dos usuários através de um endpoint que requer apenas acesso de Editor. Um atacante com permissões de Editor pode recuperar as chaves secretas de todos os usuários, incluindo administradores, comprometendo a segurança das contas.

Detalhe técnico

O endpoint /users da API groov View retorna metadados sensíveis incluindo chaves de API para todos os usuários. Um atacante autenticado com privilégios de Editor pode enumerar e extrair credenciais de API de contas administrativas, levando a acesso não autorizado e escalação de privilégios.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The users endpoint in the groov View API returns a list of all users and associated metadata including their API keys. This endpoint requires an Editor role to access and will display API keys for all users, including Administrators.

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N

Produtos afetados

Opto 22 · groov View Server Opto 22 · GRV-EPIC-PR1 Firmware Opto 22 · GRV-EPIC-PR2 Firmware

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-329-04.json https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-04 https://www.opto22.com/support/resources-tools/knowledgebase/kb91325