CVE-2026-31848
KrytyczneStreszczenie
Oprogramowanie układowe Nexxt Solutions Nebula 300+ w wersjach do 12.01.01.37 wykorzystuje ciasteczko ecos_pw do uwierzytelniania, które zawiera dane uwierzytelniające zakodowane w Base64 z dodatkiem statycznym. Ponieważ kodowanie jest odwracalne i brakuje ochrony integralności, atakujący może odtworzyć lub sfałszować ważną wartość ciasteczka bez odpowiedniego uwierzytelnienia.
Ocena ryzyka
To umożliwia nieautoryzowany dostęp administracyjny do chronionych punktów końcowych, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania układowego do najnowszej wersji, która eliminuje tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
Nexxt Solutions Nebula 300+ firmware through version 12.01.01.37 uses the ecos_pw cookie for authentication, which contains Base64-encoded credential data combined with a static suffix. Because the encoding is reversible and lacks integrity protection, an attacker can reconstruct or forge a valid cookie value without proper authentication. This allows unauthorized administrative access to protected endpoints.

