CRITICAL✓ PATCH🇬🇧 English

CVE-2026-24663

Command Injection w Copeland XWEB Pro — RCE bez uwierzytelnienia

CVSS 9.0v3.1pub. 2026-02-27upd. 2026-03-09

W oprogramowaniu XWEB Pro (wersja 1.12.1 i wcześniejsze) wykryto podatność typu OS command injection, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu. Podatność jest szczególnie niebezpieczna, ponieważ nie wymaga żadnych danych uwierzytelniających ani interakcji użytkownika.

Pokaż oryginał (EN)

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an unauthenticated attacker to achieve remote code execution on the system by sending a crafted request to the libraries installation route and injecting malicious input into the request body.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie sieciowe do endpointu odpowiedzialnego za instalację bibliotek w systemie XWEB Pro. W treści żądania (request body) wstrzykuje złośliwe polecenia systemu operacyjnego, które są następnie wykonywane przez podatny komponent bez odpowiedniej walidacji i sanitizacji danych wejściowych. Atak jest możliwy zdalnie przez sieć, bez konieczności posiadania konta w systemie.

Skutki

Skuteczne wykorzystanie podatności daje atakującemu pełną kontrolę nad urządzeniem poprzez zdalne wykonanie dowolnego kodu (RCE) z poziomem uprawnień systemu operacyjnego, co może prowadzić do naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja dostępna pod adresem https://webapps.copeland.com/Dixell/Pages/SystemSoftwareUpdate. Zaleca się również ograniczenie dostępu sieciowego do urządzeń XWEB Pro poprzez firewall oraz izolację sieci OT od sieci korporacyjnych i Internetu.

Kogo dotyczy

Copeland XWEB Pro w wersji 1.12.1 oraz wcześniejszych — dotyczy urządzeń Copeland Xweb 500B Pro, Copeland Xweb 300D Pro oraz Copeland Xweb 500D Pro (firmware i oprogramowanie).

Uwagi

Podatność dotyczy urządzeń przemysłowych OT (operational technology) klasy HVAC/chłodnictwo. Poradnik bezpieczeństwa został opublikowany przez CISA w ramach serii ICS-CERT Advisory (ICSA-26-057-10).

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Copeland Xweb 300d Pro

    HW
    Copeland
    wszystkie wersje
  • Copeland Xweb 300d Pro Firmware

    OS
    Copeland
    ≤ 1.12.1
  • Copeland Xweb 500b Pro

    HW
    Copeland
    wszystkie wersje
  • Copeland Xweb 500b Pro Firmware

    OS
    Copeland
    ≤ 1.12.1
  • Copeland Xweb 500d Pro

    HW
    Copeland
    wszystkie wersje
  • Copeland Xweb 500d Pro Firmware

    OS
    Copeland
    ≤ 1.12.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-21718CRITICAL10.0PL ✓ten sam produkt

Auth Bypass i RCE w Copeland XWEB Pro – firmware sterowników przemysłowych

CVE-2026-20742HIGH8.0ten sam produkt

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticate...

CVE-2026-20902HIGH8.0ten sam produkt

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authentica...

CVE-2026-20910HIGH8.0ten sam produkt

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticated...

CVE-2026-20764HIGH8.0ten sam produkt

An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticated...