Podatność klasy CWE-1188 polega na inicjalizacji zasobu z niebezpiecznymi domyślnymi ustawieniami — domyślne dane uwierzytelniające nie są zmieniane przy pierwszym użyciu, co umożliwia atakującemu wykonanie nieautoryzowanych poleceń. Sytuację pogarsza fakt, że domyślna nazwa użytkownika nie jest poprawnie wyświetlana w interfejsie WebHMI, co może uśpić czujność administratorów.
▸ Pokaż oryginał (EN)
CWE-1188: Initialization of a Resource with an Insecure Default vulnerability exists that could cause an attacker to execute unauthorized commands when a system’s default password credentials have not been changed on first use. The default username is not displayed correctly in the WebHMI interface.
Urządzenie lub oprogramowanie dostarczane jest z domyślnymi danymi logowania (login i hasło), które użytkownik powinien zmienić przy pierwszym uruchomieniu. Jeśli tego nie zrobi, atakujący może użyć tych znanych poświadczeń do uwierzytelnienia się w interfejsie WebHMI przez sieć. Dodatkowo błąd w wyświetlaniu domyślnej nazwy użytkownika w interfejsie WebHMI może sprawić, że administrator nie jest świadomy istnienia domyślnego konta, przez co nie podejmuje działań naprawczych.
Atakujący uzyskuje pełny, nieautoryzowany dostęp do systemu i może wykonywać dowolne polecenia, co prowadzi do naruszenia poufności, integralności oraz dostępności zasobu (CVSS C:H/I:H/A:H).
Należy niezwłocznie zmienić domyślne dane uwierzytelniające (login i hasło) przy pierwszym uruchomieniu systemu. Następnie należy zastosować patche dostępne u producenta zgodnie z referencjami (dokument Schneider Electric SEVD-2025-070-03). Zaleca się również ograniczenie dostępu sieciowego do interfejsu WebHMI poprzez segmentację sieci i zastosowanie firewall.
Produkty Schneider Electric wyposażone w interfejs WebHMI — szczegółowe wersje wskazane w referencjach producenta (dokument SEVD-2025-070-03).
Podatność dotyczy produktów Schneider Electric — szczegóły techniczne i lista wersji dostępne w biuletynie bezpieczeństwa SEVD-2025-070-03 opublikowanym przez producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H