CRITICAL🇬🇧 English

CVE-2023-49253

Hardkodowane hasło roota w urządzeniu Hongdian H8951-4G-Esp

CVSS 9.8v3.1pub. 2024-01-12upd. 2025-06-20

Urządzenie Hongdian H8951-4G-Esp posiada zakodowane na stałe hasło użytkownika root, którego nie można zmienić przez interfejs użytkownika. Stanowi to krytyczne zagrożenie, ponieważ atakujący posiadający wiedzę o tym haśle uzyskuje pełny dostęp do urządzenia.

Pokaż oryginał (EN)

Root user password is hardcoded into the device and cannot be changed in the user interface.

🤖 Analiza AI
Jak działa

Producent wbudował (hardkodował) hasło konta root bezpośrednio w oprogramowaniu układowym (firmware) urządzenia. Hasło to jest identyczne dla wszystkich egzemplarzy urządzenia i nie może zostać zmienione przez administratora z poziomu interfejsu użytkownika. Oznacza to, że każdy, kto zna to hasło, może zalogować się na konto root na dowolnym urządzeniu tego modelu.

Skutki

Atakujący może uzyskać pełny dostęp z uprawnieniami roota do urządzenia, co umożliwia przejęcie pełnej kontroli, modyfikację konfiguracji, przechwycenie ruchu sieciowego oraz potencjalne wykorzystanie urządzenia jako punktu wejścia do sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji firmware zaleca się izolację urządzeń od publicznego dostępu sieciowego, stosowanie firewalla ograniczającego dostęp do portów zarządzania oraz monitorowanie nieautoryzowanych prób logowania.

Kogo dotyczy

Hongdian H8951-4G-Esp Firmware — wersje wskazane w referencjach producenta

Uwagi

Podatność została opisana i opublikowana przez CERT Polska (cert.pl) w styczniu 2024 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hongdian H8951 4g Esp

    HW
    Hongdian
    wszystkie wersje
  • Hongdian H8951 4g Esp Firmware

    OS
    Hongdian
    < 2310271149
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-49262CRITICAL9.8PL ✓ten sam produkt

Pominięcie uwierzytelnienia przez przepełnienie pola Cookie w Hongdian H8951-4G-Esp

CVE-2023-49255CRITICAL9.8PL ✓ten sam produkt

Hongdian H8951-4G-Esp — dostęp do konsoli routera bez uwierzytelnienia

CVE-2023-49257HIGH8.8ten sam produkt

An authenticated user is able to upload an arbitrary CGI-compatible file using the certificate upload utility ...

CVE-2023-49259HIGH7.5ten sam produkt

The authentication cookies are generated using an algorithm based on the username, hardcoded secret and the up...

CVE-2023-49254HIGH8.8ten sam produkt

Authenticated user can execute arbitrary commands in the context of the root user by providing payload in the ...