CVEbaza.plSłownik CWECWE-1391
Common Weakness Enumeration

CWE-1391

Use of Weak Credentials

Kategoria: ClassCVE: 51
Opis

Produkt wykorzystuje słabe poświadczenia (takie jak klucz domyślny lub zakodowane na stałe hasło), które mogą być obliczone, pochodne, ponownie użyte lub odgadnięte przez atakującego. Stanowi to znaczące zagrożenie dla bezpieczeństwa systemu.

Description (EN)

The product uses weak credentials (such as a default key or hard-coded password) that can be calculated, derived, reused, or guessed by an attacker.

Podatności CVE z CWE-1391 (51)
9.8
CVSS
CRITICAL
CVE-2025-67114

Podatność w urządzeniu Small Cell Sercomm SCE4255W (FreedomFi Englewood) umożliwia zdalnym atakującym wyprowadzenie ważnych poświadczeń administratora/root wyłącznie na podstawie adresu MAC urządzenia. Jest to podatność krytyczna (CVSS 9.8), ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika, a jej wykorzystanie daje pełny dostęp do urządzenia.

pub. 2026-03-19
9.8
CVSS
CRITICAL
CVE-2026-22886

Eclipse OpenMQ dostarcza usługę zarządzania (imqbrokerd) z domyślnym kontem administratora (admin/admin), którego zmiana hasła nie jest wymuszana. Zdalny atakujący bez żadnego uwierzytelnienia własnego może zalogować się przy użyciu domyślnych danych i przejąć pełną kontrolę administracyjną nad brokerem.

pub. 2026-03-03
9.8
CVSS
CRITICAL
CVE-2025-6077

Produkty Partner Software (Partner Software Product oraz aplikacja webowa Partner Web) stosują te same domyślne dane logowania (nazwa użytkownika i hasło) dla konta administratora we wszystkich wersjach. Jest to podatność krytyczna, ponieważ atakujący bez żadnych uprawnień może przejąć pełną kontrolę nad systemem przez sieć.

pub. 2025-08-02
9.8
CVSS
CRITICAL
CVE-2024-51978

Podatność umożliwia nieuwierzytelnionemu atakującemu wygenerowanie domyślnego hasła administratora urządzenia na podstawie jego numeru seryjnego. Jest to krytyczna luka, ponieważ całkowicie obchodzi mechanizm uwierzytelniania bez jakiejkolwiek interakcji użytkownika.

pub. 2025-06-25
9.8
CVSS
CRITICAL
CVE-2024-12728

Podatność w Sophos Firewall polega na stosowaniu słabych domyślnych danych uwierzytelniających, które mogą umożliwić nieautoryzowany dostęp do systemu z uprawnieniami administracyjnymi przez SSH. Krytyczny poziom CVSS 9.8 wynika z braku wymagań co do uwierzytelnienia, sieci jako wektora ataku oraz pełnego wpływu na poufność, integralność i dostępność systemu.

pub. 2024-12-19
9.5
CVSS
CRITICAL
CVE-2025-6523

Podatność w komponencie awaryjnego uwierzytelnienia Devolutions Server pozwala nieuwierzytelnionemu atakującemu na ominięcie mechanizmu logowania poprzez atak brute force na krótkie kody awaryjne. Wysoka ocena CVSS 9.5 wynika z możliwości uzyskania nieautoryzowanego dostępu do serwera zarządzania hasłami bez jakichkolwiek uprawnień wstępnych.

pub. 2025-07-22
9.3
CVSS
CRITICAL
CVE-2026-8076

Panel administracyjny CashDro 3 w wersji 24.01.00.26 pozwala na uwierzytelnianie użytkowników wyłącznie za pomocą numerycznych PIN-ów, bez mechanizmu blokowania konta po nieudanych próbach logowania. Umożliwia to przeprowadzenie ataku brute-force i uzyskanie nieautoryzowanego dostępu do systemu.

pub. 2026-05-08
9.3
CVSS
CRITICAL
CVE-2026-39920

BridgeHead FileStore w wersjach wcześniejszych niż 24A udostępnia moduł administracyjny Apache Axis2 z domyślnymi danymi uwierzytelniającymi na interfejsach sieciowych, co pozwala nieuwierzytelnionemu atakującemu zdalnie wykonać dowolne polecenia systemu operacyjnego. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.

pub. 2026-04-24
9.3
CVSS
CRITICAL
CVE-2025-30519

Urządzenia ProGauge MagLink LX4 firmy Dover Fueling Solutions posiadają domyślne dane uwierzytelniające konta root, których nie można zmienić standardowymi metodami administracyjnymi. Podatność umożliwia atakującemu z dostępem sieciowym do urządzenia uzyskanie pełnych uprawnień administratora.

pub. 2025-09-18
9.3
CVSS
CRITICAL
CVE-2024-43698

Sterowniki Kieback & Peter z serii DDC4000 wykorzystują słabe (przewidywalne lub domyślne) dane uwierzytelniające, co umożliwia nieuprawnionemu atakującemu przejęcie pełnych uprawnień administratora bez jakiegokolwiek logowania. Podatność jest krytyczna ze względu na brak wymagania uwierzytelnienia oraz kompletny wpływ na poufność, integralność i dostępność systemu.

pub. 2024-10-22
9.2
CVSS
CRITICAL
CVE-2025-59103

Urządzenie Access Manager 92xx w rewizji sprzętowej K7 posiada dwa konta użytkowników z zakodowanymi na stałe (hardcoded) i słabymi hasłami, umożliwiającymi nieautoryzowany dostęp przez SSH na porcie 22. Mechanizm randomizacji hasła jest nieskuteczny w pewnych okolicznościach, co sprawia, że urządzenia mogą pozostawać trwale narażone.

pub. 2026-01-26
9.1
CVSS
CRITICAL
CVE-2026-44351

Biblioteka fast-jwt przed wersją 6.2.4 zawiera krytyczną podatność umożliwiającą obejście uwierzytelnienia (auth bypass) w przepływie asynchronicznego key-resolvera. Nieuwierzytelniony atakujący może sfałszować dowolny token JWT, który zostanie zaakceptowany jako autentyczny.

pub. 2026-05-13
8.8
CVSS
HIGH
CVE-2024-28066

In Unify CP IP Phone firmware 1.10.4.3, Weak Credentials are used (a hardcoded root password).

pub. 2024-04-08
8.8
CVSS
HIGH
CVE-2024-29071

HGW BL1500HM Ver 002.001.013 and earlier contains a use of week credentials issue. A network-adjacent unauthenticated attacker may change the system settings.

pub. 2024-03-25
8.7
CVSS
HIGH
CVE-2026-35089

In Slican telephone exchanges secure key is generated in a predictable manner using properties of the telephone exchange which can be obtained without authentication. An unauthenticated attacker can deduce the secure key and obtain admin credentials. This issue was fixed in versions below: - IPx series: version 6.61.0040 - CCT-1668: version 6.56.0430 - MAC-6400: version 6.56.0430 - CXS-0424: version 6.30.0510 The issue STILL EXISTS in End-Of-Life telephone exchanges in versions 4.xx and below: - CCT-1668 (CCT1CPU) - MAC-6400 - CXS-0424 These products were discontinued in 2011 and 2012 and and will not receive updates. These products require a hardware update in order to receive a software update. The vendor recommends that users of these devices contact the their service department directly to determine the options for upgrading.

pub. 2026-05-27
8.7
CVSS
HIGH
CVE-2025-35970

On multiple products of SEIKO EPSON and FUJIFILM Corporation, the initial administrator password is easy to guess from the information available via SNMP. If the administrator password is not changed from the initial one, a remote attacker with SNMP access can log in to the product with the administrator privilege.

pub. 2025-08-07
8.7
CVSS
HIGH
CVE-2025-53558

ZXHN-F660T and ZXHN-F660A provided by ZTE Japan K.K. use a common credential for all installations. With the knowledge of the credential, an attacker may log in to the affected devices.

pub. 2025-07-31
8.7
CVSS
HIGH
CVE-2024-45722

Ruijie Reyee OS versions 2.206.x up to but not including 2.320.x uses weak credential mechanism that could allow an attacker to easily calculate MQTT credentials.

pub. 2024-12-06
8.7
CVSS
HIGH
CVE-2024-7558

JUJU_CONTEXT_ID is a predictable authentication secret. On a Juju machine (non-Kubernetes) or Juju charm container (on Kubernetes), an unprivileged user in the same network namespace can connect to an abstract domain socket and guess the JUJU_CONTEXT_ID value. This gives the unprivileged user access to the same information and tools as the Juju charm.

pub. 2024-10-02
8.6
CVSS
HIGH
CVE-2024-5634

Longse model LBH30FE200W cameras, as well as products based on this device, make use of telnet passwords which follow a specific pattern. Once the pattern is known, brute-forcing the password becomes relatively easy.  Additionally, every camera with the same firmware version shares the same password.

pub. 2024-07-09
Pokazano 20 z 51 podatności
Informacje
ID: CWE-1391
Typ: Class
Podatności: 51
MITRE CWE ↗
← Słownik CWE