CVE-2025-13084

Opto 22 groov View Exposure of Sensitive Information Through Metadata

CVSS 6.1 MEDIUMEPSS 0.2%CWE-1230

En resumen

La API de groov View expone las claves de API de los usuarios a través de un endpoint que requiere solo acceso de Editor. Un atacante con permisos de Editor puede recuperar las claves secretas de todos los usuarios, incluidos administradores, comprometiendo la seguridad de las cuentas.

Detalle técnico

El endpoint /users en la API de groov View devuelve metadatos sensibles incluyendo claves de API para todos los usuarios. Un atacante autenticado con privilegios de Editor puede enumerar y extraer credenciales de API de cuentas administrativas, lo que lleva a acceso no autorizado y escalación de privilegios.

Resumen generado y traducido por IA a partir de la descripción oficial.

The users endpoint in the groov View API returns a list of all users and associated metadata including their API keys. This endpoint requires an Editor role to access and will display API keys for all users, including Administrators.

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N

Productos afectados

Opto 22 · groov View Server Opto 22 · GRV-EPIC-PR1 Firmware Opto 22 · GRV-EPIC-PR2 Firmware

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-329-04.json https://www.cisa.gov/news-events/ics-advisories/icsa-25-329-04 https://www.opto22.com/support/resources-tools/knowledgebase/kb91325