CVEbaza.plSłownik CWECWE-259
Common Weakness Enumeration

CWE-259

Use of Hard-coded Password

Kategoria: VariantCVE: 194
Opis

Produkt zawiera zakodowane hasło, które wykorzystuje do uwierzytelniania przychodzącego lub komunikacji wychodzące do zewnętrznych komponentów. Stanowi to znaczące zagrożenie bezpieczeństwa, ponieważ hasło może być łatwo odkryte przez analizę kodu.

Description (EN)

The product contains a hard-coded password, which it uses for its own inbound authentication or for outbound communication to external components.

Podatności CVE z CWE-259 (194)
10.0
CVSS
CRITICAL
CVE-2024-32741

Urządzenie Siemens SIMATIC CN 4100 zawiera zakodowane na stałe hasło (hard-coded password) dla uprzywilejowanego użytkownika systemowego `root` oraz bootloadera `GRUB`. Podatność jest krytyczna, ponieważ złamanie skrótu hasła daje atakującemu pełny dostęp do systemu bez żadnych dodatkowych uprawnień.

pub. 2024-05-14
10.0
CVSS
CRITICAL
CVE-2022-45444

Sewio’s Real-Time Location System (RTLS) Studio version 2.0.0 up to and including version 2.6.2 contains hard-coded passwords for select users in the application’s database. This could allow a remote attacker to login to the database with unrestricted access.

pub. 2023-01-18
10.0
CVSS
HIGH
CVE-2014-2363

Morpho Itemiser 3 8.17 has hardcoded administrative credentials, which makes it easier for remote attackers to obtain access via a login request.

pub. 2014-07-26
10.0
CVSS
HIGH
CVE-2012-5862

These Sinapsi devices store hard-coded passwords in the PHP file of the device. By using the hard-coded passwords in the device, attackers can log into the device with administrative privileges. This could allow the attacker to have unauthorized access.

pub. 2012-11-23
9.9
CVSS
CRITICAL
CVE-2025-20286

Podatność w Cisco Identity Services Engine (ISE) wdrożonym w chmurach AWS, Microsoft Azure i Oracle Cloud Infrastructure powoduje, że różne instancje ISE współdzielą te same statycznie wygenerowane poświadczenia. Nieuwierzytelniony zdalny atakujący może wykorzystać te poświadczenia do uzyskania dostępu do cudzych środowisk ISE, modyfikacji konfiguracji lub zakłócenia działania usług.

pub. 2025-06-04
9.8
CVSS
CRITICAL
CVE-2026-35905

Urządzenia CPE firmy T3 Technology zawierają zakodowane na stałe hasło umożliwiające dostęp root przez konto 'superadmin'. Podatność pozwala nieuwierzytelnionemu atakującemu przejąć pełną kontrolę nad urządzeniem przez sieć.

pub. 2026-06-04
9.8
CVSS
CRITICAL
CVE-2025-70041

W projekcie ThermaKube (gałąź master) wykryto użycie hardkodowanego hasła (CWE-259). Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne uzyskanie pełnej kontroli nad systemem.

pub. 2026-03-11
9.8
CVSS
CRITICAL
CVE-2025-30115

Urządzenie Forvia Hella Driving Recorder DR 820 używa zakodowanego na stałe identyfikatora sieci (SSID) oraz hasła ('qwertyuiop'), których użytkownik nie może zmienić. Stałe i publicznie znane dane dostępowe umożliwiają każdemu nieautoryzowany dostęp do sieci urządzenia.

pub. 2025-03-18
9.8
CVSS
CRITICAL
CVE-2025-27638

Vasion Print (dawniej PrinterLogic) zawiera zakodowane na stałe hasło (hardcoded password) w kodzie aplikacji, co pozwala atakującemu na uzyskanie nieautoryzowanego dostępu. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i nie wymaga żadnych uprawnień ani interakcji użytkownika.

pub. 2025-03-05
9.8
CVSS
CRITICAL
CVE-2025-1100

W systemie Q-Free MaxTime w wersji 2.11.0 i wcześniejszych wykryto zakodowane na stałe hasło dla konta root (CWE-259). Podatność pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu z uprawnieniami administratora root poprzez SSH.

pub. 2025-02-12
9.8
CVSS
CRITICAL
CVE-2024-25825

W systemach FydeOS for PC 17.1 R114, FydeOS for VMware 17.0 R114, FydeOS for You 17.1 R114 oraz OpenFyde R114 hasło roota zostało skonfigurowane jako wildcard (symbol wieloznaczny), co w praktyce oznacza brak wymaganego hasła. Atakujący może uzyskać pełny dostęp administracyjny do systemu bez podawania jakichkolwiek poświadczeń.

pub. 2024-10-09
9.8
CVSS
CRITICAL
CVE-2023-37231

Loftware Spectrum przed wersją 4.6 HF14 zawiera hasło zakodowane na stałe w kodzie aplikacji (Hard-coded Password). Podatność o ocenie CVSS 9.8 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie nieautoryzowanego dostępu do systemu bez konieczności znajomości prawidłowych poświadczeń.

pub. 2024-09-10
9.8
CVSS
CRITICAL
CVE-2024-42639

Urządzenie H3C GR1100-P w wersji v100R009 zawiera zakodowane na stałe hasło w pliku /etc/shadow, co umożliwia atakującemu zalogowanie się jako root. Jest to krytyczna podatność, ponieważ daje pełen, nieuprawniony dostęp do systemu bez znajomości indywidualnych danych uwierzytelniających.

pub. 2024-08-16
9.8
CVSS
CRITICAL
CVE-2024-41616

Router D-Link DIR-300 REVA z oprogramowaniem w wersji v1.06B05_WW zawiera zakodowane na stałe (hardcoded) dane uwierzytelniające w usłudze Telnet. Podatność ta umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie pełnej kontroli nad urządzeniem.

pub. 2024-08-06
9.8
CVSS
CRITICAL
CVE-2024-36526

W aplikacji ZKTeco ZKBio CVSecurity v6.1.1 odkryto zahardkodowany klucz kryptograficzny (CWE-259). Podatność jest krytyczna, ponieważ umożliwia atakującemu zdalnemu, bez uwierzytelnienia, pełne naruszenie poufności, integralności i dostępności systemu.

pub. 2024-07-09
9.8
CVSS
CRITICAL
CVE-2023-46685

Router LevelOne WBR-6013 zawiera zakodowane na stałe hasło w usłudze telnetd, co umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń. Podatność jest krytyczna ze względu na brak wymogu uwierzytelnienia i pełny dostęp do urządzenia przez sieć.

pub. 2024-07-08
9.8
CVSS
CRITICAL
CVE-2024-38902

W urządzeniu H3C Magic R230 w wersji V100R002 odkryto zakodowane na stałe hasło (hardcoded password) w pliku /etc/shadow, co umożliwia atakującemu zalogowanie się jako użytkownik root. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2024-06-24
9.8
CVSS
CRITICAL
CVE-2024-33625

Aplikacja CyberPower PowerPanel Business zawiera zakodowany na stałe klucz podpisywania tokenów JWT. Umożliwia to zdalnemu atakującemu sfałszowanie tokenów JWT i ominięcie mechanizmu uwierzytelnienia bez znajomości jakichkolwiek poświadczeń.

pub. 2024-05-15
9.8
CVSS
CRITICAL
CVE-2024-34025

Aplikacja CyberPower PowerPanel Business zawiera zakodowane na stałe w kodzie źródłowym dane uwierzytelniające (hard-coded credentials). Podatność umożliwia atakującemu ominięcie mechanizmu uwierzytelniania i uzyskanie uprawnień administratora.

pub. 2024-05-15
9.8
CVSS
CRITICAL
CVE-2024-31810

Urządzenie TOTOLINK EX200 w wersji firmware V4.0.3c.7646_B20201211 zawiera zakodowane na stałe hasło konta root w pliku /etc/shadow.sample. Pozwala to atakującemu na uzyskanie pełnego dostępu do systemu bez konieczności posiadania jakichkolwiek uprawnień.

pub. 2024-05-14
Pokazano 20 z 194 podatności
Informacje
ID: CWE-259
Typ: Variant
Podatności: 194
MITRE CWE ↗
← Słownik CWE