CRITICAL🇬🇧 English

CVE-2026-27507

Zakodowane na stałe dane logowania administratora w przełączniku Binardat 10G08-0800GSM

CVSS 9.3v4.0pub. 2026-02-24upd. 2026-02-25

Firmware przełącznika sieciowego Binardat 10G08-0800GSM zawiera zakodowane na stałe dane logowania administratora, których użytkownik nie może zmienić. Znajomość tych danych uwierzytelniających daje atakującemu pełny dostęp administracyjny do urządzenia sieciowego.

Pokaż oryginał (EN)

Binardat 10G08-0800GSM network switch firmware version V300SP10260209 and prior contain hard-coded administrative credentials that cannot be changed by users. Knowledge of these credentials allows full administrative access to the device.

🤖 Analiza AI
Jak działa

Podatność (CWE-798) polega na tym, że producent wbudował w firmware stałe dane logowania z uprawnieniami administracyjnymi, które nie mogą być zmienione przez użytkownika ani administratora urządzenia. Atakujący posiadający wiedzę o tych danych uwierzytelniających — możliwą do uzyskania np. poprzez analizę firmware'u lub z publicznie dostępnych źródeł — może zdalnie zalogować się do urządzenia bez żadnych dodatkowych warunków wstępnych. Ponieważ dostęp jest sieciowy i nie wymaga żadnego uwierzytelnienia po stronie atakującego ani interakcji użytkownika, próg wejścia dla atakującego jest bardzo niski.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do przełącznika sieciowego, co umożliwia modyfikację konfiguracji sieci, przechwytywanie ruchu sieciowego, wyłączenie urządzenia lub wykorzystanie go jako punktu wejścia do dalszej kompromitacji infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wydania poprawki zaleca się izolację urządzeń od publicznego dostępu sieciowego, ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych hostów poprzez firewall lub dedykowaną sieć zarządzania (out-of-band management) oraz monitorowanie nieautoryzowanych prób logowania.

Kogo dotyczy

Przełącznik sieciowy Binardat 10G08-0800GSM z firmware w wersji V300SP10260209 i wcześniejszych.

Uwagi

Podatność dotyczy urządzeń klasy L3 Web-Managed o przepustowości 160 Gbps. Brak możliwości zmiany zakodowanych danych logowania przez użytkownika oznacza, że jedyną skuteczną mitigacją jest aktualizacja firmware'u lub izolacja sieciowa urządzenia.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Binardat 10g08 0800gsm

    HW
    Binardat
    wszystkie wersje
  • Binardat 10g08 0800gsm Firmware

    OS
    Binardat
    ≤ V300SP10260209
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-27515CRITICAL9.3PL ✓ten sam produkt

Binardat 10G08-0800GSM — przewidywalne identyfikatory sesji w interfejsie web

CVE-2026-27519HIGH8.7ten sam produkt

Binardat 10G08-0800GSM network switch firmware version V300SP10260209 and prior use RC4 with a hard-coded key ...

CVE-2026-27520HIGH8.7ten sam produkt

Binardat 10G08-0800GSM network switch firmware versions prior to V300SP10260209 store a user password in a cli...

CVE-2026-23678HIGH8.7ten sam produkt

Binardat 10G08-0800GSM network switch firmware version V300SP10260209 and prior contain a command injection vu...

CVE-2026-27516HIGH8.6ten sam produkt

Binardat 10G08-0800GSM network switch firmware version V300SP10260209 and prior expose user passwords in plain...