CVE-2026-25752
KrytyczneStreszczenie
FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) oparte na sieci web. Wykryto lukę w autoryzacji, która pozwala nieautoryzowanemu, zdalnemu atakującemu na modyfikację tagów urządzeń za pomocą WebSockets, omijając kontrolę dostępu opartą na rolach.
Ocena ryzyka
Wykorzystanie tej luki może umożliwić atakującemu manipulację procesami fizycznymi oraz odłączonymi urządzeniami z poziomu HMI, co stwarza poważne zagrożenie dla środowisk ICS/SCADA.
Rekomendacja
Zaleca się aktualizację FUXA do wersji 1.2.10, w której problem został załatany, aby zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. An authorization bypass vulnerability in FUXA allows an unauthenticated, remote attacker to modify device tags via WebSockets. Exploitation allows an unauthenticated, remote attacker to bypass role-based access controls and overwrite arbitrary device tags or disable communication drivers, exposing connected ICS/SCADA environments to follow-on actions. This may allow an attacker to manipulate physical processes and disconnected devices from the HMI. This affects FUXA through version 1.2.9. This issue has been patched in FUXA version 1.2.10.

