W oprogramowaniu Delta Electronics DIAView wykryto krytyczną podatność sklasyfikowaną jako CWE-321 (użycie zahardkodowanego klucza kryptograficznego). Podatność uzyskała najwyższy możliwy wynik CVSS 9.8, co oznacza poważne zagrożenie dla systemów przemysłowych korzystających z tego oprogramowania.
▸ Pokaż oryginał (EN)
Delta Electronics DIAView has multiple vulnerabilities.
Podatność jest związana z CWE-321, czyli użyciem statycznego, z góry wbudowanego w aplikację klucza kryptograficznego. Osoba atakująca, znając lub odtwarzając taki klucz, może obejść mechanizmy uwierzytelniania lub szyfrowania zastosowane w produkcie. Atak może być przeprowadzony zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, co znacząco obniża próg wejścia dla potencjalnego napastnika.
Atakujący może uzyskać pełną kontrolę nad systemem — w tym poufność, integralność i dostępność danych — co w środowisku przemysłowym (SCADA/HMI) może prowadzić do zakłócenia procesów produkcyjnych lub ich nieautoryzowanej modyfikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje zawiera biuletyn bezpieczeństwa Delta Electronics: Delta-PCSA-2026-00001 dostępny w centrum plików producenta.
Delta Electronics DIAView — wersje wskazane w referencjach producenta (dokument Delta-PCSA-2026-00001)
Podatność jest częścią grupy wielu podatności opisanych w jednym biuletynie producenta (Delta-PCSA-2026-00001), który obejmuje również CVE-2025-62582. Szczegóły dotyczące dotkniętych wersji i dostępnych poprawek należy weryfikować bezpośrednio w dokumencie producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDeltaww Diaview
APPDeltaww< 4.4.0
Powiązane podatności
Brak uwierzytelnienia w Delta Electronics DIAView (CWE-306)
Delta Electronics DIAView has Command Injection vulnerability.
Delta Electronics AS320T — błędna kalkulacja rozmiaru bufora w handlerze GET/PUT
Delta Electronics AS320T — przepełnienie bufora stosu przez nazwę pliku
Delta Electronics AS320T — przepełnienie bufora przez nazwę katalogu (stack-based buffer overflow)