CVE-2026-31848
CriticalSummary
Oprogramowanie układowe Nexxt Solutions Nebula 300+ w wersjach do 12.01.01.37 wykorzystuje ciasteczko ecos_pw do uwierzytelniania, które zawiera dane uwierzytelniające zakodowane w Base64 z dodatkiem statycznym. Ponieważ kodowanie jest odwracalne i brakuje ochrony integralności, atakujący może odtworzyć lub sfałszować ważną wartość ciasteczka bez odpowiedniego uwierzytelnienia.
Risk Assessment
To umożliwia nieautoryzowany dostęp administracyjny do chronionych punktów końcowych, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Recommendation
Zaleca się aktualizację oprogramowania układowego do najnowszej wersji, która eliminuje tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.
Original NVD description (English source)
Nexxt Solutions Nebula 300+ firmware through version 12.01.01.37 uses the ecos_pw cookie for authentication, which contains Base64-encoded credential data combined with a static suffix. Because the encoding is reversible and lacks integrity protection, an attacker can reconstruct or forge a valid cookie value without proper authentication. This allows unauthorized administrative access to protected endpoints.

