CVEbaza.plSłownik CWECWE-1188
Common Weakness Enumeration

CWE-1188

Initialization of a Resource with an Insecure Default

Kategoria: BaseCVE: 334
Opis

Produkt inicjalizuje lub ustawia zasób z wartością domyślną, która ma być zmieniona przez instalatora, administratora lub opiekuna produktu, jednak ta wartość domyślna nie jest bezpieczna. Może to prowadzić do zagrożeń bezpieczeństwa, jeśli domyślne ustawienia nie zostaną zmienione przed użyciem produktu.

Description (EN)

The product initializes or sets a resource with a default that is intended to be changed by the product's installer, administrator, or maintainer, but the default is not secure.

Podatności CVE z CWE-1188 (334)
10.0
CVSS
CRITICAL
CVE-2026-41679

Podatność w serwerze Paperclip (Node.js) umożliwia nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem (RCE) bez podania jakichkolwiek poświadczeń i bez interakcji użytkownika. Dotyczy domyślnej konfiguracji wdrożeń działających w trybie 'authenticated', co czyni ją szczególnie niebezpieczną.

pub. 2026-04-23
10.0
CVSS
CRITICAL
CVE-2026-31957

Himmelblau w wersjach od 3.0.0 do 3.1.0 (wyłącznie) nie ogranicza uwierzytelniania do skonfigurowanego tenanta, jeśli domena tenanta nie została zdefiniowana w pliku himmelblau.conf. Stanowi to poważne zagrożenie w środowiskach z uwierzytelnianiem zdalnym, ponieważ atakujący może uwierzytelnić się przy użyciu dowolnej domeny Entra ID.

pub. 2026-03-11
10.0
CVSS
CRITICAL
CVE-2026-28775

Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych z uprawnieniami root na urządzeniu IDC SFX Series SuperFlex Satellite Receiver. Wynika z domyślnie skonfigurowanego zapisu przez SNMP z użyciem powszechnie znanych danych uwierzytelniających oraz uruchomienia agenta SNMP z najwyższymi uprawnieniami.

pub. 2026-03-04
10.0
CVSS
CRITICAL
CVE-2025-61481

MikroTik RouterOS v.7.14.2 oraz SwOS v.2.18 domyślnie udostępniają interfejs zarządzania WebFig przez niezaszyfrowany protokół HTTP, co umożliwia atakującemu znajdującemu się na ścieżce sieciowej przechwycenie danych uwierzytelniających oraz wykonanie wstrzykniętego kodu JavaScript w przeglądarce administratora. Podatność posiada najwyższy możliwy wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej sieci korzystającej z urządzeń MikroTik.

pub. 2025-10-27
10.0
CVSS
CRITICAL
CVE-2025-41672

Zdalny, nieuwierzytelniony atakujący może wykorzystać domyślne certyfikaty do generowania tokenów JWT i uzyskać pełny dostęp do narzędzia oraz wszystkich podłączonych urządzeń. Podatność uzyskała najwyższy możliwy wynik CVSS 10.0, co czyni ją ekstremalnie krytyczną.

pub. 2025-07-07
10.0
CVSS
CRITICAL
CVE-2024-0001

W systemie FlashArray Purity firmy Pure Storage istnieje lokalne konto przeznaczone do początkowej konfiguracji macierzy, które pozostaje aktywne po zakończeniu konfiguracji. Stanowi to krytyczne zagrożenie, ponieważ potencjalny atakujący może wykorzystać to konto do uzyskania podwyższonych uprawnień.

pub. 2024-09-23
10.0
CVSS
CRITICAL
CVE-2024-2912

W frameworku BentoML istnieje krytyczna podatność polegająca na niebezpiecznej deserializacji danych, umożliwiająca zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Atakujący może przejąć pełną kontrolę nad serwerem hostującym aplikację BentoML, wysyłając specjalnie spreparowane żądanie POST.

pub. 2024-04-16
10.0
CVSS
CRITICAL
CVE-2021-34795

Multiple vulnerabilities in the web-based management interface of the Cisco Catalyst Passive Optical Network (PON) Series Switches Optical Network Terminal (ONT) could allow an unauthenticated, remote attacker to perform the following actions: Log in with a default credential if the Telnet protocol is enabled Perform command injection Modify the configuration For more information about these vulnerabilities, see the Details section of this advisory.

pub. 2021-11-04
10.0
CVSS
CRITICAL
CVE-2017-7964

Zyxel WRE6505 devices have a default TELNET password of 1234 for the root and admin accounts, which makes it easier for remote attackers to conduct DNS hijacking attacks by reconfiguring the built-in dnshijacker process.

pub. 2017-04-19
9.9
CVSS
CRITICAL
CVE-2026-46386

Oficjalny obraz Docker OpenProject zawiera domyślny, znany klucz SECRET_KEY_BASE (OVERWRITE_ME), co w połączeniu z deserializacją Marshal umożliwia każdemu zalogowanemu użytkownikowi wykonanie dowolnego kodu na serwerze. Podatność jest krytyczna ze względu na deterministyczny i łatwy do wykorzystania mechanizm ataku.

pub. 2026-06-26
9.9
CVSS
CRITICAL
CVE-2026-54067

Podatność w systemie SiYuan (przed wersją 3.7.0) pozwala na wstrzyknięcie dowolnego kodu JavaScript przez złośliwie spreparowany snippet CSS. Na komputerach z aplikacją desktopową opartą na Electron atak eskaluje do pełnego RCE na hoście, ponieważ renderer działa z włączoną opcją nodeIntegration.

pub. 2026-06-24
9.9
CVSS
CRITICAL
CVE-2026-54158

W systemie SiYuan do wersji 3.7.0 istnieje podatność typu XSS w komponencie renderującym komórki bazy danych (attribute-view), umożliwiająca wykonanie dowolnego kodu JavaScript. Na wersji desktopowej (Electron) podatność eskaluje bezpośrednio do RCE na poziomie systemu operacyjnego z powodu włączonej opcji nodeIntegration.

pub. 2026-06-24
9.9
CVSS
CRITICAL
CVE-2026-55454

W platformie Appsmith (przed wersją 2.1) wbudowany reverse proxy Caddy udostępnia niezabezpieczone API administracyjne na porcie 2019, dostępne z poziomu procesu serwera Appsmith. Uwierzytelniony użytkownik z niskimi uprawnieniami może wykorzystać podatność SSRF do przejęcia pełnej kontroli nad konfiguracją działającego serwera proxy.

pub. 2026-06-24
9.8
CVSS
CRITICAL
CVE-2025-70998

Router UTT HiPER 810 (firmware v1.5.0-140603) zawiera niebezpieczne domyślne dane uwierzytelniające dla usługi telnet, co może pozwolić zdalnemu atakującemu na uzyskanie dostępu root. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2026-02-18
9.8
CVSS
CRITICAL
CVE-2025-62877

Podatność w interaktywnym instalatorze SUSE Virtualization (Harvester) w wersjach 1.5.x oraz 1.6.x może prowadzić do ujawnienia domyślnego hasła logowania SSH systemu operacyjnego. Jest to krytyczny problem, ponieważ nieuwierzytelniony atakujący sieciowy może potencjalnie uzyskać dostęp do węzłów klastra.

pub. 2026-01-08
9.8
CVSS
CRITICAL
CVE-2025-24288

Oprogramowanie Versa Director domyślnie udostępnia usługi SSH i PostgreSQL w sieci Internet, a wiele kont systemowych (większość z uprawnieniami sudo) korzysta z tych samych domyślnych danych uwierzytelniających. Stanowi to poważne zagrożenie, ponieważ atakujący bez żadnych uprawnień może uzyskać pełną kontrolę nad systemem.

pub. 2025-06-19
9.8
CVSS
CRITICAL
CVE-2025-1863

Produkty rejestrujące i akwizycji danych firmy Yokogawa Electric Corporation zawierają niebezpieczne ustawienia domyślne — uwierzytelnianie jest domyślnie wyłączone. Każda osoba z dostępem sieciowym może bez żadnych poświadczeń uzyskać pełen dostęp do funkcji konfiguracyjnych i operacyjnych urządzeń.

pub. 2025-04-18
9.8
CVSS
CRITICAL
CVE-2025-1960

Podatność klasy CWE-1188 polega na inicjalizacji zasobu z niebezpiecznymi domyślnymi ustawieniami — domyślne dane uwierzytelniające nie są zmieniane przy pierwszym użyciu, co umożliwia atakującemu wykonanie nieautoryzowanych poleceń. Sytuację pogarsza fakt, że domyślna nazwa użytkownika nie jest poprawnie wyświetlana w interfejsie WebHMI, co może uśpić czujność administratorów.

pub. 2025-03-12
9.8
CVSS
CRITICAL
CVE-2024-28815

Podatność w komponencie BluStar systemów Mitel InAttend (2.6 SP4–2.7) oraz CMG (8.5 SP4–8.6) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń, zmianę konfiguracji systemu lub uzyskanie dostępu do wrażliwych danych. Krytyczny poziom CVSS 9.8 oraz brak wymagań uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.

pub. 2024-03-27
9.8
CVSS
CRITICAL
CVE-2023-6448

Oprogramowanie Unitronics VisiLogic przed wersją 9.9.00, stosowane w sterownikach PLC i panelach HMI z serii Vision i Samba, zawiera domyślne hasło administracyjne. Nieuwierzytelniony atakujący z dostępem sieciowym może przejąć pełną kontrolę administracyjną nad podatnym urządzeniem.

pub. 2023-12-05🚩 CISA KEV⚡ EXPLOIT
Pokazano 20 z 334 podatności
Informacje
ID: CWE-1188
Typ: Base
Podatności: 334
MITRE CWE ↗
← Słownik CWE
CWE-1188 — Inicjalizacja zasobu z niezabezpieczonym ustawieniem domyślnym | Słownik CWE | CVEbaza.pl