Katalog CVE

CVE-2026-42947

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 36 - wyżej niż 36% wszystkich znanych CVE

Streszczenie

W platformie Naxclow występuje luka w procesie onboardingu, która pozwala atakującemu na powtórzenie sekwencji potwierdzenia i przypisania, co umożliwia cichą zmianę przypisania urządzenia do dowolnego konta.

Ocena ryzyka

Atakujący może przejąć urządzenie bez interakcji użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa danych i kontroli nad urządzeniami w organizacji.

Rekomendacja

Zaleca się wprowadzenie dodatkowych mechanizmów weryfikacji własności urządzenia oraz monitorowanie aktywności przypisania urządzeń do kont.

Oryginalny opis (angielski, źródło NVD)

A flaw in Naxclow's platform’s onboarding workflow allows an attacker to replay a confirm-then-bind sequence to silently reassign a device to an arbitrary account. Because the affected endpoints validate request signatures but do not confirm legitimate ownership, an attacker with any account can take over a device without user interaction while the device remains online and unaware.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS