CVE-2026-42947
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 36 - wyżej niż 36% wszystkich znanych CVE
Streszczenie
W platformie Naxclow występuje luka w procesie onboardingu, która pozwala atakującemu na powtórzenie sekwencji potwierdzenia i przypisania, co umożliwia cichą zmianę przypisania urządzenia do dowolnego konta.
Ocena ryzyka
Atakujący może przejąć urządzenie bez interakcji użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa danych i kontroli nad urządzeniami w organizacji.
Rekomendacja
Zaleca się wprowadzenie dodatkowych mechanizmów weryfikacji własności urządzenia oraz monitorowanie aktywności przypisania urządzeń do kont.
Oryginalny opis (angielski, źródło NVD)
A flaw in Naxclow's platform’s onboarding workflow allows an attacker to replay a confirm-then-bind sequence to silently reassign a device to an arbitrary account. Because the affected endpoints validate request signatures but do not confirm legitimate ownership, an attacker with any account can take over a device without user interaction while the device remains online and unaware.

