Katalog CVE

CVE-2026-50108

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 34 - wyżej niż 34% wszystkich znanych CVE

Streszczenie

API platformy Naxclow, które zwraca szczegóły rejestracji przekaźników urządzeń, ujawnia trwałe poświadczenia bez weryfikacji, czy żądający jest rzeczywistym urządzeniem lub właścicielem. Osoba mogąca przedstawić ważny podpis żądania platformy może uzyskać poświadczenia dla dowolnych urządzeń i zarejestrować się na przekaźniku jako to urządzenie.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości przechwytywania i zakłócania komunikacji urządzeń, co może prowadzić do utraty danych lub naruszenia integralności systemu.

Rekomendacja

Zaleca się wdrożenie dodatkowych mechanizmów weryfikacji tożsamości żądających, aby zapobiec nieautoryzowanemu dostępowi do poświadczeń urządzeń.

Oryginalny opis (angielski, źródło NVD)

The Naxclow platform API that returns device relay registration details exposes a persistent credential without verifying that the requester is the legitimate device or owner. An actor able to present a platform-valid request signature can retrieve credentials for arbitrary devices and register on the relay as that device, enabling interception and disruption of its communications.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS