anonhaven

CVE-2026-32666

HIGH CVSS 3.1: 7,5 EPSS 0.07%
Обновлено 23 марта 2026
WebCTRL
Параметр Значение
CVSS 7,5 (HIGH)
Тип уязвимости CWE-290
Поставщик WebCTRL
Публичный эксплойт Нет

Системы WebCTRL, которые обмениваются данными через BACnet, унаследовали недостаток протокола. аутентификации сетевого уровня. WebCTRL не реализует дополнительные проверка трафика BACnet, чтобы злоумышленник, имеющий доступ к сети, мог подделывать пакеты BACnet, направленные либо на сервер WebCTRL, либо на связанный с ним Контроллеры AutomatedLogic. Поддельные пакеты могут обрабатываться как законный.

Показать оригинальное описание (EN)

WebCTRL systems that communicate over BACnet inherit the protocol's lack of network layer authentication. WebCTRL does not implement additional validation of BACnet traffic so an attacker with network access could spoof BACnet packets directed at either the WebCTRL server or associated AutomatedLogic controllers. Spoofed packets may be processed as legitimate.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-290

Ссылки 3

https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-0…
ics-cert@hq.dhs.gov
https://www.automatedlogic.com/en/company/security-commitment/
ics-cert@hq.dhs.gov
https://www.cisa.gov/news-events/ics-advisories/icsa-26-078-08
ics-cert@hq.dhs.gov
Share Post Share Share Share