CRITICAL🇬🇧 English

CVE-2025-28389

OpenC3 COSMOS: Obejście uwierzytelnienia przez słabe wymagania haseł

CVSS 9.8v3.1pub. 2025-06-13upd. 2025-06-17

OpenC3 COSMOS v6.0.0 stosuje zbyt słabe wymagania dotyczące haseł, co umożliwia atakującemu przeprowadzenie ataku brute force i obejście uwierzytelnienia. Podatność uzyskała krytyczny wynik CVSS 9.8, gdyż nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Weak password requirements in OpenC3 COSMOS v6.0.0 allow attackers to bypass authentication via a brute force attack.

🤖 Analiza AI
Jak działa

System nie wymusza wystarczająco silnych haseł (CWE-521), przez co użytkownicy mogą ustawiać hasła podatne na automatyczne ataki słownikowe lub brute force. Atakujący zdalnie i bez żadnych wstępnych uprawnień może systematycznie próbować kolejnych kombinacji haseł, aż do skutecznego zalogowania się na konto ofiary.

Skutki

Skuteczny atak brute force pozwala atakującemu przejąć kontrolę nad kontem użytkownika lub administratora, co wiąże się z pełnym naruszeniem poufności, integralności i dostępności systemu OpenC3 COSMOS.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wymuszenie stosowania silnych haseł w polityce bezpieczeństwa organizacji oraz wdrożenie mechanizmów blokady konta po określonej liczbie nieudanych prób logowania.

Kogo dotyczy

OpenC3 COSMOS v6.0.0

Uwagi

Podatność została zidentyfikowana w ramach oceny bezpieczeństwa platformy OpenC3 COSMOS przeprowadzonej przez VisionSpace, której raport jest dostępny w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Openc3 Cosmos

    APP
    Openc3
    6.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-42088CRITICAL9.6PL ✓ten sam produkt

OpenC3 COSMOS: ominięcie uprawnień API i dostęp do usług wewnętrznych sieci Docker

CVE-2026-42087CRITICAL9.6PL ✓ten sam produkt

SQL Injection w komponencie TSDB OpenC3 COSMOS (CVE-2026-42087)

CVE-2025-28384CRITICAL9.1PL ✓ten sam produkt

Path Traversal w endpoincie /script-api/scripts/ OpenC3 COSMOS

CVE-2025-28388CRITICAL9.8PL ✓ten sam produkt

OpenC3 COSMOS — hardcoded credentials w koncie Service Account

CVE-2025-28386CRITICAL9.8PL ✓ten sam produkt

RCE w komponencie Plugin Management OpenC3 COSMOS poprzez spreparowany plik .txt