CRITICAL🇬🇧 English

CVE-2026-25715

Puste dane uwierzytelniające w interfejsie zarządzania urządzeniem

CVSS 9.8v3.1pub. 2026-02-20upd. 2026-04-15

Interfejs zarządzania webowego urządzenia umożliwia ustawienie nazwy użytkownika i hasła administratora na wartości puste. Skutkuje to całkowitym wyłączeniem uwierzytelniania na wszystkich kluczowych kanałach zarządzania, co pozwala dowolnemu atakującemu w sieci na przejęcie pełnej kontroli administracyjnej bez znajomości jakichkolwiek danych logowania.

Pokaż oryginał (EN)

The web management interface of the device allows the administrator username and password to be set to blank values. Once applied, the device permits authentication with empty credentials over the web management interface and Telnet service. This effectively disables authentication across all critical management channels, allowing any network-adjacent attacker to gain full administrative control without credentials.

🤖 Analiza AI
Jak działa

Podatność polega na braku wymuszenia minimalnych wymagań dotyczących siły hasła (CWE-521 — Weak Password Requirements). Administrator może skonfigurować urządzenie tak, aby nazwa użytkownika i hasło były pustymi ciągami znaków. Po zastosowaniu takiej konfiguracji urządzenie akceptuje uwierzytelnienie z pustymi poświadczeniami zarówno przez interfejs webowy, jak i przez usługę Telnet. W praktyce całkowicie eliminuje to mechanizm kontroli dostępu do krytycznych kanałów zarządzania.

Skutki

Atakujący znajdujący się w sieci, bez posiadania jakichkolwiek danych uwierzytelniających, może uzyskać pełną kontrolę administracyjną nad urządzeniem, co obejmuje możliwość zmiany konfiguracji, wyłączenia zabezpieczeń oraz dalszego kompromitowania infrastruktury sieciowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się natychmiastowe skonfigurowanie silnych, niepustych haseł administratora, ograniczenie dostępu do interfejsu webowego i usługi Telnet wyłącznie do zaufanych hostów oraz rozważenie wyłączenia usługi Telnet na rzecz bezpieczniejszych protokołów (np. SSH).

Kogo dotyczy

Wersje wskazane w referencjach producenta (szczegóły w poradniku CISA ICS-CERT: ICSA-26-050-03)

Uwagi

Podatność opisana w poradniku ICS-CERT ICSA-26-050-03, dotyczącym systemów technologii operacyjnej (OT). Dostępne szczegóły techniczne w repozytorium CSAF organizacji CISA.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje