SecBoard
HochCVE WatchScore: 35/100

Lantronix EDS5000 (CVE-2025-67038) aktiv ausgenutzt — OT-Schwachstelle jetzt im CISA-KEV

28. Juni 2026
Lantronix EDS5000 (CVE-2025-67038) aktiv ausgenutzt — OT-Schwachstelle jetzt im CISA-KEV

Kurzfazit

CISA hat vier Schwachstellen in den KEV-Katalog aufgenommen, darunter CVE-2025-67038 im Lantronix-EDS5000-Serial-to-IP-Converter (CVSS 9.8). Eine Command-Injection im HTTP-RPC-Modul wird laut Bericht aktiv ausgenutzt — nach einer vorausgegangenen OT-Bedrohungswarnung. Die Lücke stammt aus dem im April offengelegten BRIDGE:BREAK-Forschungsprojekt.

Was ist passiert?

hat am 23. Juni 2026 vier Schwachstellen aufgrund nachgewiesener aktiver Ausnutzung in den Known-Exploited-Vulnerabilities-Katalog () aufgenommen. Im Fokus der Berichterstattung steht CVE-2025-67038 im Lantronix EDS5000 Serial-to-IP-Converter ( 9.8). Laut CVE-Beschreibung führt das HTTP-RPC-Modul beim Fehlschlagen der Authentifizierung einen Shell-Befehl zum Schreiben von Logs aus, wobei der Benutzername direkt mit dem Befehl verkettet wird — eine klassische Command-Injection. Die Schwachstelle wurde im Rahmen des im April offengelegten Forschungsprojekts BRIDGE:BREAK publiziert und wird nun, nach einer OT-Bedrohungswarnung, aktiv ausgenutzt.

Warum ist das relevant?

Serial-to-IP-Converter verbinden ältere serielle OT-Geräte mit IP-Netzen und sitzen damit an einer sensiblen Schnittstelle zwischen IT und OT. Eine ausnutzbare Command-Injection auf einem solchen Edge-Gerät kann Angreifern einen Brückenkopf in OT-Umgebungen verschaffen — Umgebungen, in denen Patchen oft erschwert ist. Der KEV-Status bestätigt die aktive Ausnutzung.

Betroffene Branchen und Technologien

Betroffen sind Organisationen mit Lantronix-EDS5000-Geräten, typischerweise im OT-/Industrieumfeld. Eine darüber hinausgehende branchenspezifische Eingrenzung geht aus den Quellen nicht hervor. hat im selben Schritt drei weitere Schwachstellen (CVE-2026-34908, CVE-2026-34909 sowie eine weitere) in den aufgenommen; zu deren Details liegen in den Rohdaten keine belastbaren Angaben vor.

Priorisierungssignale

  • CISA-KEV — aktive Ausnutzung bestätigt
  • 9.8 (kritisch)
  • OT-Edge-Gerät an der IT/OT-Schnittstelle
  • Vorausgegangene OT-Bedrohungswarnung

(Der EPSS-Wert ist mit 1% niedrig; maßgeblich ist hier die bestätigte aktive Ausnutzung, nicht die statistische Prognose.)

Defensive Empfehlungen

  • Lantronix-EDS5000-Geräte inventarisieren und auf den verfügbaren Hersteller-Fix bzw. Workaround für CVE-2025-67038 aktualisieren.
  • Management-/HTTP-Schnittstellen dieser Geräte vom Internet und von nicht vertrauenswürdigen Netzen trennen.
  • IT/OT-Segmentierung prüfen und Zugriff auf serielle Gateways strikt einschränken.
  • Geräteprotokolle auf fehlgeschlagene Authentifizierungen mit auffälligen Benutzernamen (Indikator für Injection-Versuche) prüfen.

Quellenhinweise

Grundlage sind die CISA-KEV-Aufnahme sowie die Berichterstattung von SecurityWeek. Der CVSS-Wert (9.8) stammt aus den verknüpften Schwachstellendaten; weitere Details zu den drei zusätzlichen KEV-Einträgen lagen nicht strukturiert vor.

Was Security-Teams jetzt prüfen sollten

  • 1Lantronix-EDS5000-Geräte inventarisieren und Hersteller-Fix/Workaround für CVE-2025-67038 einspielen.
  • 2HTTP-/Management-Schnittstellen der Geräte vom Internet und untrusted Netzen trennen.
  • 3IT/OT-Segmentierung prüfen und Zugriff auf serielle Gateways strikt beschränken.
  • 4Geräteprotokolle auf fehlgeschlagene Logins mit auffälligen Benutzernamen (Injection-Indikator) prüfen.
  • 5Die übrigen drei KEV-Einträge dieses CISA-Updates gegen das eigene Inventar abgleichen.

Relevante CVEs

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 28. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Lantronix#EDS5000#CVE-2025-67038#OT#Command Injection#KEV#BRIDGE:BREAK