CRITICAL🇬🇧 English

CVE-2025-55049

Użycie domyślnego klucza kryptograficznego — krytyczna podatność

CVSS 9.1v3.1pub. 2025-09-09upd. 2026-04-15

Podatność polega na stosowaniu domyślnego klucza kryptograficznego (CWE-1394), co umożliwia atakującemu zdalne naruszenie poufności i integralności danych bez uwierzytelnienia. Wysoki wynik CVSS 9.1 wskazuje na poważne ryzyko dla systemów, których dotyczy.

Pokaż oryginał (EN)

Use of Default Cryptographic Key (CWE-1394)

🤖 Analiza AI
Jak działa

Produkt wykorzystuje wbudowany, z góry znany klucz kryptograficzny zamiast unikalnego klucza generowanego podczas instalacji lub pierwszego uruchomienia. Atakujący posiadający wiedzę o tym domyślnym kluczu może deszyfrować chronione dane, podpisywać własne komunikaty lub tokeny w sposób akceptowany przez system. Wektor ataku sieciowy bez wymagań dotyczących uwierzytelnienia lub interakcji użytkownika oznacza, że exploit może być przeprowadzony zdalnie i w pełni automatycznie.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do chronionych informacji (naruszenie poufności) oraz zmodyfikować lub sfałszować dane uwierzytelniające, tokeny bądź inne chronione zasoby (naruszenie integralności).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo należy niezwłocznie zmienić wszelkie domyślne klucze kryptograficzne na unikalne wartości wygenerowane losowo, a tam gdzie to możliwe — wymusić rotację kluczy i unieważnienie sesji opartych na skompromitowanych kluczach.

Kogo dotyczy

Wersje wskazane w referencjach producenta

Uwagi

Szczegółowe informacje o podatności są publikowane przez izraylski CERT (gov.il). Opis producenta nie precyzuje nazwy ani wersji produktu — należy śledzić aktualizacje w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje