CRITICAL🇬🇧 English

CVE-2025-1960

Insecure Default Credentials w interfejsie WebHMI — nieautoryzowane wykonanie poleceń

CVSS 9.8v3.1pub. 2025-03-12upd. 2026-04-15

Podatność klasy CWE-1188 polega na inicjalizacji zasobu z niebezpiecznymi domyślnymi ustawieniami — domyślne dane uwierzytelniające nie są zmieniane przy pierwszym użyciu, co umożliwia atakującemu wykonanie nieautoryzowanych poleceń. Sytuację pogarsza fakt, że domyślna nazwa użytkownika nie jest poprawnie wyświetlana w interfejsie WebHMI, co może uśpić czujność administratorów.

Pokaż oryginał (EN)

CWE-1188: Initialization of a Resource with an Insecure Default vulnerability exists that could cause an attacker to execute unauthorized commands when a system’s default password credentials have not been changed on first use. The default username is not displayed correctly in the WebHMI interface.

🤖 Analiza AI
Jak działa

Urządzenie lub oprogramowanie dostarczane jest z domyślnymi danymi logowania (login i hasło), które użytkownik powinien zmienić przy pierwszym uruchomieniu. Jeśli tego nie zrobi, atakujący może użyć tych znanych poświadczeń do uwierzytelnienia się w interfejsie WebHMI przez sieć. Dodatkowo błąd w wyświetlaniu domyślnej nazwy użytkownika w interfejsie WebHMI może sprawić, że administrator nie jest świadomy istnienia domyślnego konta, przez co nie podejmuje działań naprawczych.

Skutki

Atakujący uzyskuje pełny, nieautoryzowany dostęp do systemu i może wykonywać dowolne polecenia, co prowadzi do naruszenia poufności, integralności oraz dostępności zasobu (CVSS C:H/I:H/A:H).

Mitygacja

Należy niezwłocznie zmienić domyślne dane uwierzytelniające (login i hasło) przy pierwszym uruchomieniu systemu. Następnie należy zastosować patche dostępne u producenta zgodnie z referencjami (dokument Schneider Electric SEVD-2025-070-03). Zaleca się również ograniczenie dostępu sieciowego do interfejsu WebHMI poprzez segmentację sieci i zastosowanie firewall.

Kogo dotyczy

Produkty Schneider Electric wyposażone w interfejs WebHMI — szczegółowe wersje wskazane w referencjach producenta (dokument SEVD-2025-070-03).

Uwagi

Podatność dotyczy produktów Schneider Electric — szczegóły techniczne i lista wersji dostępne w biuletynie bezpieczeństwa SEVD-2025-070-03 opublikowanym przez producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-1960 — Insecure Default Credentials w interfejsie WebHMI — nieautoryzowane wykonanie poleceń — CRITICAL 9.8 | CVEbaza.pl