Katalog CVE

CVE-2026-50099

ŚrednieCVSS 4.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 - wyżej niż 5% wszystkich znanych CVE

Streszczenie

Podczas asocjacji WiFi, oprogramowanie urządzenia Naxclow wyświetla SSID, PSK oraz negocjowane klucze WPA w postaci niezaszyfrowanej na wystawionym konsoli UART. Umożliwia to atakującemu z fizycznym dostępem do urządzenia odzyskanie danych uwierzytelniających WiFi oraz przeprowadzenie ataków na oprogramowanie.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości odzyskania danych uwierzytelniających WiFi przez osoby trzecie, co może prowadzić do nieautoryzowanego dostępu do sieci oraz ataków na urządzenia.

Rekomendacja

Zaleca się zabezpieczenie konsoli UART oraz zmianę domyślnych ustawień szeregowych, aby ograniczyć dostęp do wrażliwych informacji. Dodatkowo, warto rozważyć fizyczne zabezpieczenie urządzeń zamontowanych na zewnątrz.

Oryginalny opis (angielski, źródło NVD)

During WiFi association, Naxclow device firmware prints the host network’s SSID, PSK, and negotiated WPA keys in cleartext to an exposed UART console on production hardware. The UART pads are labeled, run with default serial settings, and drop to an interactive RT-Thread shell that permits arbitrary memory reads, enabling full firmware extraction. An attacker with brief physical access, common for outdoor-mounted devices, can therefore recover WiFi credentials and bootstrap firmware-side attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS