CRITICAL✓ PATCH🇬🇧 English

CVE-2026-21718

Auth Bypass i RCE w Copeland XWEB Pro – firmware sterowników przemysłowych

CVSS 10.0v3.1pub. 2026-02-27

Podatność umożliwia nieuwierzytelnionemu atakującemu ominięcie mechanizmu uwierzytelniania w urządzeniach Copeland XWEB Pro i wykonanie dowolnego kodu bez wcześniejszego logowania. Krytyczny wynik CVSS 10.0 wskazuje na maksymalne ryzyko, szczególnie istotne w środowiskach OT/przemysłowych.

Pokaż oryginał (EN)

An authentication bypass vulnerability exists in Copeland XWEB Pro version 1.12.1 and prior, enabling any attackers to bypass the authentication requirement and achieve pre-authenticated code execution on the system.

🤖 Analiza AI
Jak działa

Błąd auth bypass pozwala atakującemu dostępnemu sieciowo (bez żadnych uprawnień ani interakcji użytkownika) na ominięcie warstwy uwierzytelniania wbudowanej w firmware urządzenia. Po ominięciu autoryzacji atakujący uzyskuje możliwość bezpośredniego wykonania kodu na systemie (pre-authenticated code execution). Podatność sklasyfikowana jako CWE-327 wskazuje na użycie przestarzałego lub niebezpiecznego algorytmu kryptograficznego jako jednego z elementów składowych luki.

Skutki

Atakujący może przejąć pełną kontrolę nad urządzeniem, wykonywać dowolny kod, modyfikować konfigurację lub zakłócać działanie systemów sterowania przemysłowego. W środowiskach OT może to prowadzić do poważnych konsekwencji operacyjnych, w tym awarii instalacji chłodniczych lub klimatyzacyjnych obsługiwanych przez te sterowniki.

Mitygacja

Należy zaktualizować firmware do wersji wyższej niż 1.12.1, zgodnie z instrukcjami producenta dostępnymi pod adresem: https://webapps.copeland.com/Dixell/Pages/SystemSoftwareUpdate. Do czasu zastosowania patcha zaleca się izolację urządzeń od sieci publicznych oraz ograniczenie dostępu sieciowego wyłącznie do autoryzowanych hostów zgodnie z zaleceniami doradztwa CISA ICSA-26-057-10.

Kogo dotyczy

Copeland XWEB Pro w wersji 1.12.1 i wcześniejszych, w tym urządzenia: Copeland Xweb 300D Pro, Copeland Xweb 500D Pro oraz Copeland Xweb 500B Pro (firmware i wersje sprzętowe).

Uwagi

Podatność została zgłoszona w ramach doradztwa ICS-CERT (ICSA-26-057-10) dotyczącego bezpieczeństwa systemów sterowania przemysłowego (OT). Urządzenia XWEB Pro są stosowane do zarządzania systemami chłodniczymi i klimatyzacyjnymi w obiektach komercyjnych i przemysłowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Copeland Xweb 300d Pro

    HW
    Copeland
    wszystkie wersje
  • Copeland Xweb 300d Pro Firmware

    OS
    Copeland
    ≤ 1.12.1
  • Copeland Xweb 500b Pro

    HW
    Copeland
    wszystkie wersje
  • Copeland Xweb 500b Pro Firmware

    OS
    Copeland
    ≤ 1.12.1
  • Copeland Xweb 500d Pro

    HW
    Copeland
    wszystkie wersje
  • Copeland Xweb 500d Pro Firmware

    OS
    Copeland
    ≤ 1.12.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-24663CRITICAL9.0PL ✓ten sam produkt

Command Injection w Copeland XWEB Pro — RCE bez uwierzytelnienia

CVE-2026-20742HIGH8.0ten sam produkt

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticate...

CVE-2026-20902HIGH8.0ten sam produkt

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authentica...

CVE-2026-20910HIGH8.0ten sam produkt

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticated...

CVE-2026-20764HIGH8.0ten sam produkt

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticated...