CVE-2026-3611
CriticalCVSS 10.0Summary
Kontroler zarządzania budynkiem Honeywell IQ4x w domyślnej konfiguracji fabrycznej udostępnia pełny interfejs HMI bez uwierzytelnienia. Brak skonfigurowanego modułu użytkownika powoduje, że bezpieczeństwo jest wyłączone, a system działa w kontekście Gościa Systemowego, co umożliwia dostęp do funkcji odczytu/zapisu każdemu, kto ma dostęp do interfejsu HTTP.
Risk Assessment
Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do systemu, co może prowadzić do utraty kontroli nad konfiguracją i administracją. Atakujący może stworzyć nowe konto z uprawnieniami administracyjnymi, co skutkuje zablokowaniem prawdziwych operatorów.
Recommendation
Zaleca się skonfigurowanie modułu użytkownika oraz włączenie uwierzytelnienia w celu zabezpieczenia dostępu do interfejsu HMI. Należy również przeprowadzić audyt istniejących kont użytkowników i ich uprawnień.
Original NVD description (English source)
The Honeywell IQ4x building management controller, exposes its full web-based HMI without authentication in its factory-default configuration. With no user module configured, security is disabled by design and the system operates under a System Guest (level 100) context, granting read/write privileges to any party able to reach the HTTP interface. Authentication controls are only enforced after a web user is created via U.htm, which dynamically enables the user module. Because this function is accessible prior to authentication, a remote user can create a new account with administrative read/write permissions enabling the user module and imposing authentication under attacker-controlled credentials. This action can effectively lock legitimate operators out of local and web-based configuration and administration.

