CRITICAL🇬🇧 English

CVE-2025-62582

Brak uwierzytelnienia w Delta Electronics DIAView (CWE-306)

CVSS 9.8v3.1pub. 2026-01-16upd. 2026-06-04

Delta Electronics DIAView zawiera krytyczną podatność sklasyfikowaną jako CWE-306 (brak uwierzytelnienia dla funkcji krytycznej), umożliwiającą nieautoryzowany dostęp do kluczowych funkcji systemu. Podatność otrzymała ocenę CVSS 9.8, co czyni ją zagrożeniem najwyższej kategorii.

Pokaż oryginał (EN)

Delta Electronics DIAView has multiple vulnerabilities.

🤖 Analiza AI
Jak działa

Zgodnie z klasyfikacją CWE-306 podatność polega na braku wymagania uwierzytelnienia dla funkcji krytycznych w aplikacji DIAView. Wektor ataku jest sieciowy (AV:N), nie wymaga żadnych uprawnień (PR:N) ani interakcji użytkownika (UI:N), a złożoność ataku jest niska (AC:L). Oznacza to, że zdalny, nieuprawniony atakujący może bezpośrednio wywołać wrażliwe funkcje systemu bez konieczności posiadania jakichkolwiek poświadczeń.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na pełne naruszenie poufności, integralności oraz dostępności systemu (C:H/I:H/A:H), co może skutkować przejęciem kontroli nad aplikacją DIAView oraz danymi przez nią przetwarzanymi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — dokument Delta-PCSA-2026-00001 dostępny w centrum plików Delta Electronics (filecenter.deltaww.com) zawiera szczegółowe informacje o poprawkach dla CVE-2025-62581 oraz CVE-2025-62582

Kogo dotyczy

Delta Electronics DIAView — wersje wskazane w referencjach producenta (dokument Delta-PCSA-2026-00001)

Uwagi

Podatność jest częścią zestawu wielu podatności (multiple vulnerabilities) opisanych łącznie w dokumencie Delta-PCSA-2026-00001, obejmującym również CVE-2025-62581. Delta Electronics DIAView jest oprogramowaniem klasy SCADA/HMI stosowanym w środowiskach przemysłowych (OT/ICS), co zwiększa potencjalny wpływ podatności na infrastrukturę krytyczną.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Deltaww Diaview

    APP
    Deltaww
    < 4.4.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-62581CRITICAL9.8PL ✓ten sam produkt

Delta Electronics DIAView — krytyczne podatności (CVE-2025-62581)

CVE-2026-0975HIGH7.8ten sam produkt

Delta Electronics DIAView has Command Injection vulnerability.

CVE-2026-1949CRITICAL9.8PL ✓ten sam vendor

Delta Electronics AS320T — błędna kalkulacja rozmiaru bufora w handlerze GET/PUT

CVE-2026-1950CRITICAL9.8PL ✓ten sam vendor

Delta Electronics AS320T — przepełnienie bufora stosu przez nazwę pliku

CVE-2026-1951CRITICAL9.8PL ✓ten sam vendor

Delta Electronics AS320T — przepełnienie bufora przez nazwę katalogu (stack-based buffer overflow)