CVE-2026-28778
KrytyczneStreszczenie
Odbiornik satelitarny SFX Series SuperFlex firmy International Datacasting Corporation (IDC) zawiera nieudokumentowane, twardo zakodowane/niebezpieczne dane logowania dla konta użytkownika `xd`. Zdalny, nieautoryzowany atakujący może zalogować się przez FTP, wykorzystując te dane.
Ocena ryzyka
Ponieważ użytkownik `xd` ma uprawnienia do zapisu w swoim katalogu domowym, gdzie przechowywane są pliki binarne uruchamiane przez roota oraz symlinki, atakujący może nadpisać te pliki lub manipulować symlinkami, co prowadzi do możliwości wykonania dowolnego kodu jako użytkownik root.
Rekomendacja
Zaleca się usunięcie twardo zakodowanych danych logowania oraz wdrożenie silnych mechanizmów uwierzytelniania. Należy również ograniczyć uprawnienia użytkownika `xd` do niezbędnego minimum.
Oryginalny opis (angielski, źródło NVD)
International Datacasting Corporation (IDC) SFX Series SuperFlex Satellite Receiver contains undocumented, hardcoded/insecure credentials for the `xd` user account. A remote unauthenticated attacker can log in via FTP using these credentials. Because the `xd` user has write permissions to their home directory where root-executed binaries and symlinks (such as those invoked by `xdstartstop`) are stored, the attacker can overwrite these files or manipulate symlinks to achieve arbitrary code execution as the root user.

