OpenC3 COSMOS v6.0.0 stosuje zbyt słabe wymagania dotyczące haseł, co umożliwia atakującemu przeprowadzenie ataku brute force i obejście uwierzytelnienia. Podatność uzyskała krytyczny wynik CVSS 9.8, gdyż nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Weak password requirements in OpenC3 COSMOS v6.0.0 allow attackers to bypass authentication via a brute force attack.
System nie wymusza wystarczająco silnych haseł (CWE-521), przez co użytkownicy mogą ustawiać hasła podatne na automatyczne ataki słownikowe lub brute force. Atakujący zdalnie i bez żadnych wstępnych uprawnień może systematycznie próbować kolejnych kombinacji haseł, aż do skutecznego zalogowania się na konto ofiary.
Skuteczny atak brute force pozwala atakującemu przejąć kontrolę nad kontem użytkownika lub administratora, co wiąże się z pełnym naruszeniem poufności, integralności i dostępności systemu OpenC3 COSMOS.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wymuszenie stosowania silnych haseł w polityce bezpieczeństwa organizacji oraz wdrożenie mechanizmów blokady konta po określonej liczbie nieudanych prób logowania.
OpenC3 COSMOS v6.0.0
Podatność została zidentyfikowana w ramach oceny bezpieczeństwa platformy OpenC3 COSMOS przeprowadzonej przez VisionSpace, której raport jest dostępny w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOpenc3 Cosmos
APPOpenc36.0.0
Powiązane podatności
OpenC3 COSMOS: ominięcie uprawnień API i dostęp do usług wewnętrznych sieci Docker
SQL Injection w komponencie TSDB OpenC3 COSMOS (CVE-2026-42087)
Path Traversal w endpoincie /script-api/scripts/ OpenC3 COSMOS
OpenC3 COSMOS — hardcoded credentials w koncie Service Account
RCE w komponencie Plugin Management OpenC3 COSMOS poprzez spreparowany plik .txt