CVE-2026-29128
KrytyczneStreszczenie
Oprogramowanie układowe odbiornika satelitarnego IDC SFX2100 zawiera wiele plików konfiguracyjnych demonów, które są własnością roota, ale są dostępne do odczytu dla wszystkich. Pliki konfiguracyjne zawierają twardo zakodowane lub w inny sposób niebezpieczne hasła w postaci tekstu jawnego, w tym dane uwierzytelniające do trybu uprzywilejowanego.
Ocena ryzyka
Zdalny atakujący może wykorzystać te hasła do uzyskania dostępu do innych systemów w sieci, zdobycia dostępu do odbiornika satelitarnego lub potencjalnego eskalowania uprawnień lokalnych.
Rekomendacja
Zaleca się zabezpieczenie plików konfiguracyjnych, aby były dostępne tylko dla roota oraz usunięcie twardo zakodowanych haseł, zastępując je bezpiecznymi metodami uwierzytelniania.
Oryginalny opis (angielski, źródło NVD)
IDC SFX2100 Satellite Receiver firmware ships with multiple daemon configuration files for routing components (e.g., zebra, bgpd, ospfd, and ripd) that are owned by root but world-readable. The configuration files (e.g., zebra.conf, bgpd.conf, ospfd.conf, ripd.conf) contain hardcoded or otherwise insecure plaintext passwords (including “enable”/privileged-mode credentials). A remote actor is able to abuse the reuse/hardcoded nature of these credentials to further access other systems in the network, gain a foothold on the satellite receiver or potentially locally privilege escalate.

