CVE-2026-25818
KrytyczneStreszczenie
Urządzenia HMS Networks Ewon Flexy z firmware przed wersją 15.0s4 oraz Cosy+ z firmware 22.xx przed wersją 22.1s6 i 23.xx przed wersją 23.0s3 mają słabą entropię dla ciasteczek uwierzytelniających. To umożliwia atakującemu, który posiada skradzione ciasteczko sesyjne, odnalezienie hasła użytkownika poprzez atak brute-force na parametr szyfrowania.
Ocena ryzyka
Słaba entropia ciasteczek uwierzytelniających stwarza ryzyko przejęcia kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. Organizacje mogą być narażone na poważne incydenty bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację firmware'u urządzeń do najnowszych wersji, aby poprawić bezpieczeństwo ciasteczek uwierzytelniających. Dodatkowo, warto rozważyć implementację dodatkowych mechanizmów zabezpieczających, takich jak wieloskładnikowe uwierzytelnianie.
Oryginalny opis (angielski, źródło NVD)
HMS Networks Ewon Flexy with firmware before 15.0s4, Cosy+ with firmware 22.xx before 22.1s6, and Cosy+ with firmware 23.xx before 23.0s3 have weak entropy for authentication cookies, allowing an attacker with a stolen session cookie to find the user password by brute-forcing an encryption parameter.

