CVEbaza.plSłownik CWECWE-1393
Common Weakness Enumeration

CWE-1393

Use of Default Password

Kategoria: BaseCVE: 40
Opis

Produkt wykorzystuje domyślne hasła do potencjalnie krytycznych funkcjonalności. Stanowi to znaczące zagrożenie bezpieczeństwa, ponieważ atakujący mogą łatwo uzyskać dostęp używając powszechnie znanych danych uwierzytelniających.

Description (EN)

The product uses default passwords for potentially critical functionality.

Podatności CVE z CWE-1393 (40)
10.0
CVSS
CRITICAL
CVE-2025-26701

Podatność w Percona PMM Server (OVA) przed wersją 3.0.0-1.ova polega na obecności domyślnych danych uwierzytelniających do konta serwisowego, co umożliwia atakującemu uzyskanie dostępu SSH, eskalację uprawnień do root oraz ujawnienie wrażliwych danych. Krytyczny wynik CVSS 10.0 wynika z możliwości przeprowadzenia ataku sieciowego bez żadnego uwierzytelnienia.

pub. 2025-03-11
9.8
CVSS
CRITICAL
CVE-2026-22886

Eclipse OpenMQ dostarcza usługę zarządzania (imqbrokerd) z domyślnym kontem administratora (admin/admin), którego zmiana hasła nie jest wymuszana. Zdalny atakujący bez żadnego uwierzytelnienia własnego może zalogować się przy użyciu domyślnych danych i przejąć pełną kontrolę administracyjną nad brokerem.

pub. 2026-03-03
9.8
CVSS
CRITICAL
CVE-2025-8077

W NeuVector do wersji 5.4.5 włącznie wbudowane konto administratora posiada stałe, domyślne hasło, które nie jest zmieniane automatycznie po wdrożeniu. Każdy workload z dostępem sieciowym wewnątrz klastra może wykorzystać te domyślne dane uwierzytelniające do uzyskania tokenu autoryzacyjnego i wykonania dowolnych operacji przez NeuVector API.

pub. 2025-09-17
9.8
CVSS
CRITICAL
CVE-2025-27690

Dell PowerScale OneFS w wersjach 9.5.0.0–9.10.1.0 zawiera podatność polegającą na używaniu domyślnego hasła dla konta o wysokich uprawnieniach. Nieuwierzytelniony atakujący zdalnie może przejąć kontrolę nad tym kontem bez żadnych dodatkowych warunków wstępnych.

pub. 2025-04-10
9.8
CVSS
CRITICAL
CVE-2025-22938

Urządzenie Adtran 411 ONT z oprogramowaniem L80.00.0011.M2 zawiera słabe domyślne hasła, co stanowi poważne zagrożenie bezpieczeństwa. Podatność ta umożliwia nieuwierzytelnionemu atakującemu zdalne uzyskanie dostępu do urządzenia bez konieczności znajomości indywidualnych poświadczeń.

pub. 2025-03-31
9.8
CVSS
CRITICAL
CVE-2024-50588

Niezaufany atakujący z dostępem do sieci lokalnej gabinetu medycznego może wykorzystać znane domyślne dane uwierzytelniające, aby uzyskać zdalny dostęp DBA do bazy danych Firebird systemu Elefant. Podatność jest krytyczna ze względu na ekspozycję danych pacjentów oraz możliwość przejęcia kontroli nad serwerem.

pub. 2024-11-08
9.8
CVSS
CRITICAL
CVE-2023-45249

Podatność w Acronis Cyber Infrastructure (ACI) umożliwia zdalne wykonanie poleceń (RCE) na skutek stosowania domyślnych haseł. Jest aktywnie wykorzystywana przez atakujących, co czyni ją zagrożeniem wymagającym natychmiastowej reakcji.

pub. 2024-07-24🚩 CISA KEV⚡ EXPLOIT
9.8
CVSS
CRITICAL
CVE-2024-30802

Podatność w Vehicle Management System w wersji 7.31.0.3_20230412 umożliwia nieuprzywilejowanemu atakującemu eskalację uprawnień (privilege escalation) za pośrednictwem komponentu login.html. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia, ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2024-05-14
9.8
CVSS
CRITICAL
CVE-2024-29666

Platforma monitoringu pojazdów CMSV6 zawiera podatność wynikającą z niebezpiecznych uprawnień powiązanych z domyślnym hasłem, umożliwiającą zdalną eskalację uprawnień. Krytyczny poziom CVSS 9.8 oznacza, że atakujący nieuwierzytelniony może przejąć kontrolę nad systemem bez żadnej interakcji ze strony użytkownika.

pub. 2024-03-25
9.8
CVSS
CRITICAL
CVE-2023-24049

Podatność w oprogramowaniu routera Connectize AC21000 G6 (wersja 641.139.1.1256) umożliwia atakującemu uzyskanie podwyższonych uprawnień na urządzeniu. Krytyczny poziom zagrożenia wynika z możliwości przejęcia pełnej kontroli nad urządzeniem bez konieczności uwierzytelnienia.

pub. 2023-12-04
9.8
CVSS
CRITICAL
CVE-2023-32090

Pega platform clients who are using versions 6.1 through 7.3.1 may be utilizing default credentials

pub. 2023-08-07
9.6
CVSS
CRITICAL
CVE-2022-4126

Use of Default Password vulnerability in ABB RCCMD on Windows, Linux, MacOS allows Try Common or Default Usernames and Passwords.This issue affects RCCMD: before 4.40 230207.

pub. 2023-03-27
9.4
CVSS
CRITICAL
CVE-2026-4404

GoHarbor Harbor w wersji 2.15.0 i wcześniejszych zawiera wbudowane na stałe domyślne dane logowania, które umożliwiają atakującemu uzyskanie dostępu do interfejsu webowego bez żadnej autoryzacji. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika i jest dostępna zdalnie przez sieć.

pub. 2026-03-23
9.4
CVSS
CRITICAL
CVE-2023-25131

Use of default password vulnerability in PowerPanel Business Local/Remote for Windows v4.8.6 and earlier, PowerPanel Business Management for Windows v4.8.6 and earlier, PowerPanel Business Local/Remote for Linux 32bit v4.8.6 and earlier, PowerPanel Business Local/Remote for Linux 64bit v4.8.6 and earlier, PowerPanel Business Management for Linux 32bit v4.8.6 and earlier, PowerPanel Business Management for Linux 64bit v4.8.6 and earlier, PowerPanel Business Local/Remote for MacOS v4.8.6 and earlier, and PowerPanel Business Management for MacOS v4.8.6 and earlier allows remote attackers to log in to the server directly to perform administrative functions. Upon installation or upon first login, the application does not ask the user to change the 'admin' password.

pub. 2023-04-24
9.3
CVSS
CRITICAL
CVE-2026-35075

Podatność w firmware urządzeń MBS-Solutions pozwala nieuwierzytelnionemu zdalnemu atakującemu na odczytanie domyślnego, zakodowanego na stałe hasła bezpośrednio z obrazu firmware. Umożliwia to uzyskanie pełnego dostępu do wszystkich dotkniętych urządzeń bez żadnej autoryzacji.

pub. 2026-06-03
9.3
CVSS
CRITICAL
CVE-2026-33784

Podatność typu Use of Default Password w komponencie Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) pozwala nieuwierzytelnionemu atakującemu na przejęcie pełnej kontroli nad urządzeniem. Brak wymuszonej zmiany hasła podczas procesu wdrożenia sprawia, że konto z wysokimi uprawnieniami pozostaje zabezpieczone fabrycznym hasłem.

pub. 2026-04-09
9.3
CVSS
CRITICAL
CVE-2026-24429

Firmware Tenda W30E V2 w wersjach do V16.01.0.19(5037) włącznie zawiera wbudowane konto z domyślnym hasłem, którego zmiana nie jest wymagana podczas konfiguracji wstępnej. Atakujący zdalnie, bez żadnego uwierzytelnienia z jego strony, może przejąć pełną kontrolę nad interfejsem zarządzania urządzeniem.

pub. 2026-01-26
9.3
CVSS
CRITICAL
CVE-2025-66050

Kamera Vivotek IP7137 z firmware w wersji 0200a domyślnie nie wymaga podania hasła podczas logowania na konto administratora. Jest to szczególnie groźne, ponieważ urządzenie nie informuje użytkownika o konieczności ustawienia hasła, a producent nie planuje wydania poprawki ze względu na osiągnięcie statusu End-of-Life.

pub. 2026-01-09
9.3
CVSS
CRITICAL
CVE-2025-26793

System zarządzania domofonnymi panelami dostępowymi Hirsch Enterphone MESH posiada domyślne dane logowania (login: freedom, hasło: viscount), które nie są zmieniane podczas konfiguracji początkowej. Atakujący mogą wykorzystać te dane przez Internet, uzyskując dostęp do systemu zarządzania dziesiątkami budynków mieszkalnych w Kanadzie i USA.

pub. 2025-02-15
9.3
CVSS
CRITICAL
CVE-2024-51555

Urządzenia ABB ASPECT Enterprise, NEXUS Series oraz MATRIX Series w wersji 3.07.02 posiadają publicznie znane domyślne dane uwierzytelniające, które nie są wymuszane do zmiany podczas instalacji. Umożliwia to nieautoryzowany zdalny dostęp do urządzenia bez żadnych specjalnych umiejętności technicznych.

pub. 2024-12-05
Pokazano 20 z 40 podatności
Informacje
ID: CWE-1393
Typ: Base
Podatności: 40
MITRE CWE ↗
← Słownik CWE