FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. An insecure default configuration in FUXA allows an unauthenticated, remote attacker to gain administrative access and execute arbitrary code on the server. This affects FUXA through version 1.2.9 when authentication is enabled, but the administrator JWT secret is not configured. This issue has been patched in FUXA version 1.2.10.
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFrangoteam Fuxa
APPFrangoteam< 1.2.10
Related vulnerabilities
FUXA – pominięcie uwierzytelnienia przez nagłówek Referer prowadzące do RCE
FUXA SCADA/HMI: Auth Bypass + RCE przez API heartbeat
FUXA SCADA/HMI – pominięcie uwierzytelnienia umożliwiające RCE przez plugin Node-RED
Path traversal w FUXA SCADA/HMI umożliwia zapis dowolnych plików
FUXA SCADA: authorization bypass umożliwia modyfikację schedulerów bez uwierzytelnienia