CRITICAL🇬🇧 English

CVE-2026-25894

FUXA SCADA: domyślny sekret JWT umożliwia nieautoryzowany dostęp i RCE

CVSS 9.5v4.0pub. 2026-02-09upd. 2026-02-13

Oprogramowanie FUXA w wersjach do 1.2.9 zawiera niebezpieczną konfigurację domyślną, w której sekret JWT administratora nie jest ustawiony mimo włączonego uwierzytelniania. Niezaufany, zdalny atakujący może przejąć pełną kontrolę administracyjną nad systemem SCADA/HMI i wykonać dowolny kod na serwerze.

Pokaż oryginał (EN)

FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. An insecure default configuration in FUXA allows an unauthenticated, remote attacker to gain administrative access and execute arbitrary code on the server. This affects FUXA through version 1.2.9 when authentication is enabled, but the administrator JWT secret is not configured. This issue has been patched in FUXA version 1.2.10.

🤖 Analiza AI
Jak działa

Podatność wynika z połączenia dwóch błędów: użycia zakodowanego lub pustego sekretu JWT (CWE-321) oraz niebezpiecznej konfiguracji domyślnej (CWE-1188). Gdy administrator włączy uwierzytelnianie, ale nie skonfiguruje własnego sekretu JWT, aplikacja używa przewidywalnej wartości domyślnej. Atakujący może wykorzystać tę wiedzę do samodzielnego wygenerowania prawidłowego tokenu JWT z uprawnieniami administratora, bez znajomości żadnych poświadczeń. Posiadając token administratora, napastnik może następnie wykonać dowolny kod na serwerze hostującym aplikację FUXA.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do systemu SCADA/HMI oraz możliwość zdalnego wykonania dowolnego kodu (RCE) na serwerze, co w środowiskach przemysłowych może prowadzić do zakłócenia lub sabotażu procesów technologicznych.

Mitygacja

Należy zaktualizować FUXA do wersji 1.2.10, w której problem został załatany. Patch dostępny jest w repozytorium GitHub (commit ea7b3df066f9fdef8ecdce318398ae40546bc50d) oraz w oficjalnym wydaniu v1.2.10. Do czasu aktualizacji zaleca się izolację interfejsu webowego FUXA od sieci zewnętrznych oraz ręczne ustawienie silnego, losowego sekretu JWT w konfiguracji aplikacji.

Kogo dotyczy

Frangoteam FUXA w wersjach do 1.2.9 włącznie, gdy uwierzytelnianie jest włączone, lecz sekret JWT administratora nie został jawnie skonfigurowany

Uwagi

Podatność dotyczy oprogramowania klasy SCADA/HMI używanego w środowiskach przemysłowych (OT), co zwiększa potencjalne konsekwencje operacyjne naruszenia bezpieczeństwa. Szczegóły opublikowane zostały w GitHub Security Advisory GHSA-32cc-x95p-fxcg.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Frangoteam Fuxa

    APP
    Frangoteam
    < 1.2.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-69985CRITICAL9.8PL ✓ten sam produkt

FUXA – pominięcie uwierzytelnienia przez nagłówek Referer prowadzące do RCE

CVE-2026-25893CRITICAL10.0PL ✓ten sam produkt

FUXA SCADA/HMI: Auth Bypass + RCE przez API heartbeat

CVE-2026-25938CRITICAL9.5PL ✓ten sam produkt

FUXA SCADA/HMI – pominięcie uwierzytelnienia umożliwiające RCE przez plugin Node-RED

CVE-2026-25895CRITICAL9.5PL ✓ten sam produkt

Path traversal w FUXA SCADA/HMI umożliwia zapis dowolnych plików

CVE-2026-25939CRITICAL9.3PL ✓ten sam produkt

FUXA SCADA: authorization bypass umożliwia modyfikację schedulerów bez uwierzytelnienia