CVE-2025-69970
CriticalSummary
FUXA w wersji 1.2.7 zawiera podatność na niebezpieczną domyślną konfigurację w pliku server/settings.default.js. Flaga 'secureEnabled' jest domyślnie zakomentowana, co powoduje, że aplikacja uruchamia się z wyłączoną autoryzacją.
Risk Assessment
To umożliwia nieautoryzowanym atakującym zdalnym dostęp do wrażliwych punktów API, modyfikację projektów oraz kontrolę nad urządzeniami przemysłowymi natychmiast po instalacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się, aby administratorzy zmienili domyślną konfigurację, odkomentowując flagę 'secureEnabled' oraz wprowadzili odpowiednie mechanizmy autoryzacji przed wdrożeniem aplikacji.
Original NVD description (English source)
FUXA v1.2.7 contains an insecure default configuration vulnerability in server/settings.default.js. The 'secureEnabled' flag is commented out by default, causing the application to initialize with authentication disabled. This allows unauthenticated remote attackers to access sensitive API endpoints, modify projects, and control industrial equipment immediately after installation.

