CVEbaza.plSłownik CWECWE-321
Common Weakness Enumeration

CWE-321

Use of Hard-coded Cryptographic Key

Kategoria: VariantCVE: 302
Opis

Produkt używa zakodowanego na stałe, niezmiennego klucza kryptograficznego. Taka praktyka stanowi poważne zagrożenie bezpieczeństwa, ponieważ klucz może być łatwo odkryty przez analizę kodu.

Description (EN)

The product uses a hard-coded, unchangeable cryptographic key.

Podatności CVE z CWE-321 (302)
10.0
CVSS
CRITICAL
CVE-2025-34256

Advantech WISE-DeviceOn Server w wersjach wcześniejszych niż 5.4 zawiera statyczny, hardcoded klucz kryptograficzny HS512 używany do podpisywania tokenów JWT (EIRMMToken) we wszystkich instalacjach. Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne sfałszowanie tokenu JWT i przejęcie dowolnego konta, w tym konta administratora root.

pub. 2025-12-05
10.0
CVSS
CRITICAL
CVE-2025-12599

Urządzenia Azure-Access BLU-IC2 i BLU-IC4 wykorzystują te same, z góry osadzone sekrety (hardcoded secrets) do komunikacji przez interfejs SDKSocket (TCP/5000). Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją krytycznym zagrożeniem dla wszystkich wdrożeń tych urządzeń.

pub. 2025-11-01
10.0
CVSS
CRITICAL
CVE-2025-34217

Vasion Print (dawniej PrinterLogic) Virtual Appliance zawiera nieudokumentowanego użytkownika 'printerlogic' z osadzonym na stałe kluczem publicznym SSH oraz regułą sudoers przyznającą dostęp NOPASSWD: ALL. Posiadacz pasującego klucza prywatnego uzyskuje pełny dostęp root do urządzenia bez żadnego dodatkowego uwierzytelnienia.

pub. 2025-09-30
10.0
CVSS
CRITICAL
CVE-2024-30207

W systemach SIMATIC RTLS Locating Manager wykryto użycie symetrycznego szyfrowania z zakodowanym na stałe kluczem kryptograficznym do ochrony komunikacji między klientem a serwerem. Podatność o ocenie CVSS 10.0 umożliwia nieuwierzytelnionemu atakującemu zdalne naruszenie poufności, integralności i dostępności systemu.

pub. 2024-05-14
10.0
CVSS
CRITICAL
CVE-2016-9335

A hard-coded cryptographic key vulnerability was identified in Red Lion Controls Sixnet-Managed Industrial Switches running firmware Version 5.0.196 and Stride-Managed Ethernet Switches running firmware Version 5.0.190. Vulnerable versions of Stride-Managed Ethernet switches and Sixnet-Managed Industrial switches use hard-coded HTTP SSL/SSH keys for secure communication. Because these keys cannot be regenerated by users, all products use the same key. The attacker could disrupt communication or compromise the system. CVSS v3 base score: 10, CVSS vector string: (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Red Lion Controls recommends updating to SLX firmware Version 5.3.174.

pub. 2018-05-09
10.0
CVSS
HIGH
CVE-2014-5419

GE Multilink ML800, ML1200, ML1600, and ML2400 switches with firmware 4.2.1 and earlier and Multilink ML810, ML3000, and ML3100 switches with firmware 5.2.0 and earlier use the same RSA private key across different customers' installations, which makes it easier for remote attackers to obtain the cleartext content of network traffic by reading this key from a firmware image and then sniffing the network.

pub. 2015-01-17
9.9
CVSS
CRITICAL
CVE-2024-35344

Wybrane kamery IP marki Anpviz zawierają w firmware zakodowany na stałe klucz kryptograficzny (CWE-321). Podatność jest krytyczna, ponieważ atakujący z dostępem sieciowym może wykorzystać ten klucz do przejęcia kontroli nad urządzeniem lub przechwycenia komunikacji.

pub. 2024-05-28
9.8
CVSS
CRITICAL
CVE-2025-67112

Oprogramowanie urządzenia Small Cell Sercomm SCE4255W (FreedomFi Englewood) zawiera na stałe zakodowany klucz AES-256-CBC używany do szyfrowania kopii zapasowych konfiguracji. Zdalni uwierzytelnieni użytkownicy mogą odszyfrować, zmodyfikować i ponownie zaszyfrować konfigurację urządzenia, co prowadzi do przejęcia uprawnień.

pub. 2026-03-19
9.8
CVSS
CRITICAL
CVE-2025-67305

RUCKUS Network Director (RND) w wersjach poniżej 4.5.0.56 zawiera zahardkodowane klucze SSH dla użytkownika postgres, identyczne we wszystkich wdrożeniach. Umożliwia to nieuwierzytelnionemu atakującemu zdalny dostęp do systemu bez znajomości hasła.

pub. 2026-02-19
9.8
CVSS
CRITICAL
CVE-2026-22906

Podatność polega na przechowywaniu danych uwierzytelniających użytkowników przy użyciu szyfrowania AES-ECB z zakodowanym na stałe kluczem (hardcoded key). Nieuwierzytelniony zdalny atakujący, który uzyska dostęp do pliku konfiguracyjnego, może odszyfrować i odczytać plaintext nazwy użytkowników oraz hasła.

pub. 2026-02-09
9.8
CVSS
CRITICAL
CVE-2026-25505

Bambuddy w wersjach przed 0.1.7 zawiera hardkodowany tajny klucz służący do podpisywania tokenów JWT, który jest jawnie umieszczony w kodzie źródłowym. Dodatkowo wiele tras API nie weryfikuje uwierzytelniania, co umożliwia atakującemu pełne przejęcie kontroli nad instancją bez posiadania jakichkolwiek poświadczeń.

pub. 2026-02-04
9.8
CVSS
CRITICAL
CVE-2026-22586

W module Salesforce Marketing Cloud Engagement wykryto zahardkodowany klucz kryptograficzny (CWE-321), który umożliwia manipulację protokołami usług sieciowych. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją jedną z poważniejszych luk w tej platformie.

pub. 2026-01-24
9.8
CVSS
CRITICAL
CVE-2025-62581

W oprogramowaniu Delta Electronics DIAView wykryto krytyczną podatność sklasyfikowaną jako CWE-321 (użycie zahardkodowanego klucza kryptograficznego). Podatność uzyskała najwyższy możliwy wynik CVSS 9.8, co oznacza poważne zagrożenie dla systemów przemysłowych korzystających z tego oprogramowania.

pub. 2026-01-16
9.8
CVSS
CRITICAL
CVE-2025-54947

Apache StreamPark w wersjach 2.0.0–2.1.4 zawiera podatność polegającą na użyciu zakodowanego na stałe klucza szyfrowania. Atakujący może pozyskać ten klucz metodą inżynierii wstecznej lub analizy kodu, co umożliwia odszyfrowanie wrażliwych danych lub sfałszowanie zaszyfrowanych informacji prowadzące do nieautoryzowanego dostępu do systemu.

pub. 2025-12-12
9.8
CVSS
CRITICAL
CVE-2025-59407

Aplikacja Flock Safety DetectionProcessing w wersji 6.35.33 dla systemu Android zawiera wbudowany plik Java Keystore (flock_rye.bks) wraz z zakodowanym na stałe hasłem (flockhibiki17) bezpośrednio w kodzie aplikacji. Keystore ten zawiera klucz prywatny, co stanowi krytyczne zagrożenie dla bezpieczeństwa urządzeń, na których aplikacja jest zainstalowana.

pub. 2025-10-02
9.8
CVSS
CRITICAL
CVE-2025-8625

Plugin Copypress Rest API dla WordPress (wersje 1.1–1.2) zawiera hardkodowany klucz podpisujący tokeny JWT, co umożliwia nieuwierzytelnionemu atakującemu sfałszowanie prawidłowego tokenu i przesłanie dowolnego pliku na serwer. Prowadzi to bezpośrednio do zdalnego wykonania kodu (RCE) bez konieczności posiadania jakichkolwiek uprawnień.

pub. 2025-09-30
9.8
CVSS
CRITICAL
CVE-2025-57174

Urządzenia Siklu Communications Etherhaul 8010TX i 1200FX zawierają hardkodowane, identyczne na wszystkich urządzeniach klucze AES w usłudze rfpiped nasłuchującej na porcie TCP 555. Atakujący zdalnie i bez uwierzytelnienia może wykonać dowolne polecenia systemowe, co czyni podatność krytyczną.

pub. 2025-09-15
9.8
CVSS
CRITICAL
CVE-2025-41702

W backendzie interfejsu egOS WebGUI zastosowano statycznie zakodowany klucz tajny JWT, który jest dostępny do odczytu dla domyślnego użytkownika systemu. Nieuwierzytelniony zdalny atakujący może wygenerować własne, poprawne tokeny JWT i całkowicie ominąć mechanizmy uwierzytelniania oraz autoryzacji.

pub. 2025-08-26
9.8
CVSS
CRITICAL
CVE-2025-55619

Aplikacja Reolink w wersji v4.54.0.4.20250526 zawiera zakodowany na stałe klucz szyfrowania AES oraz wektor inicjalizacyjny (IV). Podatność umożliwia atakującemu odszyfrowanie tokenów dostępu i tokenów sesji webowej przechowywanych w aplikacji.

pub. 2025-08-22
9.8
CVSS
CRITICAL
CVE-2025-30206

Dpanel, panel do wizualizacji i zarządzania kontenerami Docker, zawiera w domyślnej konfiguracji zakodowany na stałe sekret JWT. Atakujący może go odkryć analizując kod źródłowy, a następnie sfałszować prawidłowe tokeny JWT i uzyskać pełną kontrolę nad hostem bez żadnych uprawnień.

pub. 2025-04-15
Pokazano 20 z 302 podatności
Informacje
ID: CWE-321
Typ: Variant
Podatności: 302
MITRE CWE ↗
← Słownik CWE
CWE-321 — Użycie zakodowanego na stałe klucza kryptograficznego | Słownik CWE | CVEbaza.pl