CRITICAL✓ PATCH🇬🇧 English

CVE-2025-26689

Forced Browsing w CHOCO TEI WATCHER mini umożliwia kradzież i modyfikację danych

CVSS 9.8v3.1pub. 2025-03-31upd. 2026-04-15

Urządzenie przemysłowe CHOCO TEI WATCHER mini (IB-MCT001) we wszystkich wersjach oprogramowania jest podatne na atak typu Forced Browsing. Zdalny atakujący bez uwierzytelnienia może wysłać specjalnie spreparowane żądanie HTTP, uzyskując dostęp do danych urządzenia, usuwając je lub zmieniając jego konfigurację.

Pokaż oryginał (EN)

Direct request ('Forced Browsing') issue exists in CHOCO TEI WATCHER mini (IB-MCT001) all versions. If a remote attacker sends a specially crafted HTTP request to the product, the product data may be obtained or deleted, and/or the product settings may be altered.

🤖 Analiza AI
Jak działa

Podatność klasy CWE-425 (Direct Request / Forced Browsing) polega na braku właściwej weryfikacji uprawnień dla bezpośrednich żądań HTTP do zasobów urządzenia. Atakujący może ominąć mechanizmy kontroli dostępu, wysyłając spreparowane żądania HTTP bezpośrednio do chronionych zasobów lub punktów końcowych API. Nie jest wymagane żadne uwierzytelnienie ani interakcja ze strony użytkownika, a atak jest możliwy zdalnie przez sieć.

Skutki

Atakujący może uzyskać dostęp do danych zebranych przez urządzenie monitorujące linię produkcyjną, usunąć te dane lub zmodyfikować ustawienia urządzenia, co może zakłócić procesy monitorowania i rejestrowania zdarzeń w środowisku przemysłowym.

Mitygacja

Producent (INABA) nie wskazał w opisie dostępnej wersji z poprawką. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do urządzenia poprzez izolację w sieci OT/ICS, stosowanie firewalli oraz unikanie bezpośredniej ekspozycji urządzenia na internet.

Kogo dotyczy

CHOCO TEI WATCHER mini (IB-MCT001) — wszystkie wersje oprogramowania

Uwagi

Podatność dotyczy urządzenia z kategorii ICS/OT służącego do monitorowania linii produkcyjnych. CISA opublikowała dedykowane ostrzeżenie ICS Advisory (ICSA-25-084-04). Badania nad podatnością opublikowała firma Nozomi Networks.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-26689 — Forced Browsing w CHOCO TEI WATCHER mini umożliwia kradzież i modyfikację danych — CRITICAL 9.8 | CVEbaza.pl