CVEbaza.plSłownik CWECWE-1392
Common Weakness Enumeration

CWE-1392

Use of Default Credentials

Kategoria: BaseCVE: 104
Opis

Produkt wykorzystuje domyślne poświadczenia (takie jak hasła lub klucze kryptograficzne) do potencjalnie krytycznych funkcji. Stanowi to zagrożenie bezpieczeństwa, ponieważ domyślne dane uwierzytelniające są powszechnie znane i mogą zostać łatwo wykorzystane przez atakujących.

Description (EN)

The product uses default credentials (such as passwords or cryptographic keys) for potentially critical functionality.

Podatności CVE z CWE-1392 (104)
10.0
CVSS
CRITICAL
CVE-2025-12218

Urządzenia Azure-Access BLU-IC2 i BLU-IC4 posiadają słabe domyślne dane uwierzytelniające (CWE-1392), co umożliwia nieautoryzowany dostęp bez konieczności posiadania jakichkolwiek uprawnień. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.

pub. 2025-10-25
10.0
CVSS
CRITICAL
CVE-2025-55051

Podatność polega na zastosowaniu domyślnych poświadczeń dostępu (CWE-1392), co pozwala nieuwierzytelnionemu atakującemu na pełne przejęcie kontroli nad podatnym systemem. Ocena CVSS 10.0 wskazuje na maksymalny poziom krytyczności.

pub. 2025-09-09
10.0
CVSS
CRITICAL
CVE-2023-3703

Proscend Advice ICR Series routers FW version 1.76 - CWE-1392: Use of Default Credentials

pub. 2023-09-03
9.9
CVSS
CRITICAL
CVE-2026-46386

Oficjalny obraz Docker OpenProject zawiera domyślny, znany klucz SECRET_KEY_BASE (OVERWRITE_ME), co w połączeniu z deserializacją Marshal umożliwia każdemu zalogowanemu użytkownikowi wykonanie dowolnego kodu na serwerze. Podatność jest krytyczna ze względu na deterministyczny i łatwy do wykorzystania mechanizm ataku.

pub. 2026-06-26
9.8
CVSS
CRITICAL
CVE-2026-45039

RustFS przed wersją 1.0.0-beta.2 używa hardkodowanego, publicznie znanegoklucza współdzielonego 'rustfsadmin' do uwierzytelniania żądań w warstwie RPC między węzłami klastra. Atakujący z dostępem sieciowym może podszywać się pod legalny węzeł i uzyskać pełny dostęp do systemu bez żadnych poświadczeń.

pub. 2026-05-28
9.8
CVSS
CRITICAL
CVE-2026-42072

W NornicDB przed wersją 1.0.42-hotfix serwer Bolt zawsze nasłuchuje na wszystkich interfejsach sieciowych, niezależnie od skonfigurowanego adresu. W połączeniu z domyślnymi danymi logowania (admin:password) naraża to bazę danych na nieautoryzowany dostęp ze strony dowolnego urządzenia w sieci lokalnej.

pub. 2026-05-08
9.8
CVSS
CRITICAL
CVE-2026-22886

Eclipse OpenMQ dostarcza usługę zarządzania (imqbrokerd) z domyślnym kontem administratora (admin/admin), którego zmiana hasła nie jest wymuszana. Zdalny atakujący bez żadnego uwierzytelnienia własnego może zalogować się przy użyciu domyślnych danych i przejąć pełną kontrolę administracyjną nad brokerem.

pub. 2026-03-03
9.8
CVSS
CRITICAL
CVE-2025-54303

Aplikacja Django wchodząca w skład Thermo Fisher Torrent Suite Software 5.18.1 używa domyślnych poświadczeń (login: ionadmin, hasło: ionadmin), które nie są wymuszone do zmiany po instalacji. Atakujący sieciowy bez żadnych uprawnień może zalogować się z pełnymi uprawnieniami administracyjnymi do wielu wdrożeń, które zachowały ustawienia domyślne.

pub. 2025-12-04
9.8
CVSS
CRITICAL
CVE-2025-10542

iMonitor EAM 9.6394 dostarcza domyślne dane logowania do konta administratora, które są dodatkowo widoczne wprost w interfejsie klienta zarządzającego. Jeśli administrator nie zmieni tych wartości, zdalny nieautoryzowany atakujący może uzyskać pełną kontrolę nad serwerem EAM i wszystkimi podłączonymi agentami.

pub. 2025-09-25
9.8
CVSS
CRITICAL
CVE-2025-51536

OpenAtlas v8.11.0, rozwijany przez Austrian Archaeological Institute, zawiera zakodowane na stałe w kodzie źródłowym hasło administratora. Umożliwia to zdalnemu, nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad aplikacją bez znajomości żadnych poświadczeń.

pub. 2025-08-04
9.8
CVSS
CRITICAL
CVE-2025-30139

Kamera samochodowa G-Net Dashcam BB GONX emituje stały identyfikator sieci Wi-Fi (SSID) z domyślnymi danymi uwierzytelniającymi, których nie można zmienić. Pozwala to każdemu atakującemu znajdującemu się w pobliżu na swobodne połączenie się z siecią urządzenia bez żadnych ograniczeń.

pub. 2025-03-18
9.8
CVSS
CRITICAL
CVE-2024-29844

Evolution Controller 2.x posiada domyślne dane uwierzytelniające na interfejsie webowym, które nie są wymuszane do zmiany po instalacji ani przy pierwszym logowaniu. Pozwala to nieuwierzytelnionemu atakującemu na natychmiastowe uzyskanie pełnego dostępu administracyjnego do serwera.

pub. 2024-04-15
9.8
CVSS
CRITICAL
CVE-2023-49621

W urządzeniu Siemens SIMATIC CN 4100 (wszystkie wersje poniżej V2.7) wykryto krytyczną podatność polegającą na stosowaniu domyślnych danych uwierzytelniających z uprawnieniami administratora podczas pośredniego stanu instalacji systemu. Atakujący może wykorzystać te dane do uzyskania pełnej kontroli nad urządzeniem bez żadnego uwierzytelnienia.

pub. 2024-01-09
9.8
CVSS
CRITICAL
CVE-2023-30801

All versions of the qBittorrent client through 4.5.5 use default credentials when the web user interface is enabled. The administrator is not forced to change the default credentials. As of 4.5.5, this issue has not been fixed. A remote attacker can use the default credentials to authenticate and execute arbitrary operating system commands using the "external program" feature in the web user interface. This was reportedly exploited in the wild in March 2023.

pub. 2023-10-10
9.8
CVSS
CRITICAL
CVE-2023-30603

Hitron Technologies CODA-5310 Telnet function with the default account and password, and there is no warning or prompt to ask users to change the default password and account. An unauthenticated remote attackers can exploit this vulnerability to obtain the administrator’s privilege, resulting in performing arbitrary system operation or disrupt service.

pub. 2023-06-02
9.5
CVSS
CRITICAL
CVE-2024-7746

Podatność w Traccar Server (producent: Tananaev Solutions) umożliwia atakującemu ominięcie mechanizmu uwierzytelnienia w panelu administratora z wykorzystaniem domyślnych danych dostępowych. Ze względu na ocenę CVSS 9.5 (CRITICAL) i brak wymaganej interakcji użytkownika, stanowi poważne zagrożenie dla wszystkich instalacji z niezmienionymi domyślnymi poświadczeniami.

pub. 2024-08-13
9.3
CVSS
CRITICAL
CVE-2026-58466

AutoBangumi before 3.2.8 contains a hard-coded default credentials vulnerability that allows unauthenticated attackers to authenticate as the administrator by using the publicly known default credentials seeded at startup via add_default_user() in the database user module when the users table is empty. Attackers can submit the default credentials to the authentication login endpoint to gain full control of the application, including RSS feed configuration, downloader configuration, and all authenticated API endpoints.

pub. 2026-07-02
9.3
CVSS
CRITICAL
CVE-2026-58453

JAIOTlink C492A-W6 Wi-Fi IP cameras running firmware 4.8.30.57701411 contain a hard-coded credentials vulnerability that allows network-adjacent attackers to gain unauthorized access by using the default admin username with an empty password accepted by the anyka_ipc HTTP service on port 80. Attackers can authenticate with these hardcoded credentials to access camera snapshots, video streams, network configuration, and factory-level API endpoints including the SetMAC command injection surface.

pub. 2026-07-01
9.3
CVSS
CRITICAL
CVE-2026-44159

Tyler Identity Local (TID-L) używa domyślnych, udokumentowanych danych logowania dla konta administratora, których zmiana nie jest wymagana przed wdrożeniem. Podatność umożliwia nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem zdalnie.

pub. 2026-05-19
9.3
CVSS
CRITICAL
CVE-2026-27751

Urządzenia sieciowe Sodola SL902-SWTGW124AS z firmware do wersji 200.1.20 zawierają podatność polegającą na stosowaniu domyślnych, zakodowanych na stałe danych logowania. Pozwala to zdalnym atakującym bez żadnego uwierzytelnienia uzyskać pełny dostęp administracyjny do interfejsu zarządzania urządzeniem.

pub. 2026-02-27
Pokazano 20 z 104 podatności
Informacje
ID: CWE-1392
Typ: Base
Podatności: 104
MITRE CWE ↗
← Słownik CWE
CWE-1392 — Użycie domyślnych poświadczeń | Słownik CWE | CVEbaza.pl