Katalog CVE

CVE-2026-3611

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Kontroler zarządzania budynkiem Honeywell IQ4x w domyślnej konfiguracji fabrycznej udostępnia pełny interfejs HMI bez uwierzytelnienia. Brak skonfigurowanego modułu użytkownika powoduje, że bezpieczeństwo jest wyłączone, a system działa w kontekście Gościa Systemowego, co umożliwia dostęp do funkcji odczytu/zapisu każdemu, kto ma dostęp do interfejsu HTTP.

Ocena ryzyka

Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do systemu, co może prowadzić do utraty kontroli nad konfiguracją i administracją. Atakujący może stworzyć nowe konto z uprawnieniami administracyjnymi, co skutkuje zablokowaniem prawdziwych operatorów.

Rekomendacja

Zaleca się skonfigurowanie modułu użytkownika oraz włączenie uwierzytelnienia w celu zabezpieczenia dostępu do interfejsu HMI. Należy również przeprowadzić audyt istniejących kont użytkowników i ich uprawnień.

Oryginalny opis (angielski, źródło NVD)

The Honeywell IQ4x building management controller, exposes its full web-based HMI without authentication in its factory-default configuration. With no user module configured, security is disabled by design and the system operates under a System Guest (level 100) context, granting read/write privileges to any party able to reach the HTTP interface. Authentication controls are only enforced after a web user is created via U.htm, which dynamically enables the user module. Because this function is accessible prior to authentication, a remote user can create a new account with administrative read/write permissions enabling the user module and imposing authentication under attacker-controlled credentials. This action can effectively lock legitimate operators out of local and web-based configuration and administration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS