CRITICAL🇬🇧 English

CVE-2026-25893

FUXA SCADA/HMI: Auth Bypass + RCE przez API heartbeat

CVSS 10.0v4.0pub. 2026-02-09upd. 2026-02-13

W oprogramowaniu FUXA (web-based SCADA/HMI/Dashboard) przed wersją 1.2.10 istnieje krytyczna luka umożliwiająca nieuwierzytelnionemu, zdalnemu atakującemu uzyskanie dostępu administracyjnego. Podatność pozwala następnie na wykonanie dowolnego kodu na serwerze, co w środowiskach przemysłowych stanowi wyjątkowo poważne zagrożenie.

Pokaż oryginał (EN)

FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. Prior to 1.2.10, an authentication bypass vulnerability in FUXA allows an unauthenticated, remote attacker to gain administrative access via the heartbeat refresh API and execute arbitrary code on the server. This issue has been patched in FUXA version 1.2.10.

🤖 Analiza AI
Jak działa

Luka wynika z błędu w mechanizmie uwierzytelniania (CWE-287) powiązanym z nieprawidłową kontrolą autoryzacji (CWE-285) w endpoint API odpowiedzialnym za odświeżanie heartbeat. Atakujący bez żadnych poświadczeń może wysłać odpowiednio spreparowane żądanie do tego API i ominąć standardową weryfikację tożsamości. Po uzyskaniu dostępu administracyjnego możliwe jest wykonanie dowolnego kodu na serwerze (RCE). Atak nie wymaga interakcji użytkownika ani szczególnych warunków sieciowych.

Skutki

Atakujący uzyskuje pełną kontrolę administracyjną nad instancją FUXA oraz może wykonać dowolny kod na serwerze, co w środowisku SCADA/HMI może prowadzić do zakłócenia lub przejęcia kontroli nad procesami przemysłowymi.

Mitygacja

Należy niezwłocznie zaktualizować FUXA do wersji 1.2.10 lub nowszej, w której podatność została załatana. Szczegóły patcha dostępne są w repozytorium GitHub producenta (commit fe82348d160904d0013b9a3e267d50158f5c7afb) oraz w security advisory GHSA-vwcg-c828-9822.

Kogo dotyczy

Frangoteam FUXA w wersjach przed 1.2.10

Uwagi

Oprogramowanie FUXA służy do wizualizacji procesów przemysłowych (SCADA/HMI), co oznacza, że podatność może dotyczyć infrastruktury krytycznej. CVSS wynosi 10.0 (maksymalny), jednak brak wpisu w CISA KEV. Podatność zgłoszona i naprawiona w ramach GitHub Security Advisories.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Frangoteam Fuxa

    APP
    Frangoteam
    < 1.2.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-69985CRITICAL9.8PL ✓ten sam produkt

FUXA – pominięcie uwierzytelnienia przez nagłówek Referer prowadzące do RCE

CVE-2026-25894CRITICAL9.5PL ✓ten sam produkt

FUXA SCADA: domyślny sekret JWT umożliwia nieautoryzowany dostęp i RCE

CVE-2026-25938CRITICAL9.5PL ✓ten sam produkt

FUXA SCADA/HMI – pominięcie uwierzytelnienia umożliwiające RCE przez plugin Node-RED

CVE-2026-25895CRITICAL9.5PL ✓ten sam produkt

Path traversal w FUXA SCADA/HMI umożliwia zapis dowolnych plików

CVE-2026-25939CRITICAL9.3PL ✓ten sam produkt

FUXA SCADA: authorization bypass umożliwia modyfikację schedulerów bez uwierzytelnienia