Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-41446 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-29 |
| Producent | Snap One |
| Produkt | WattBox 800/820 |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.1% (percentyl: 21%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Firmware urządzeń Snap One WattBox z serii 800 i 820 w wersjach starszych niż 2.10.0.0 zawiera nieujawnione, diagnostyczne endpointy HTTP, które do uwierzytelnienia wymagają wyłącznie adresu MAC urządzenia oraz service tag - obie te wartości są drukowane otwartym tekstem na fizycznej naklejce urządzenia. Atakujący posiadający dostęp do naklejki lub dokumentacji zawierającej te wartości może uwierzytelnić się do kilku endpointów i wykonywać dowolne polecenia jako root na urządzeniu.
Wymagane działania
Niezwłocznie zaktualizuj firmware urządzeń Snap One WattBox z serii 800/820 do wersji 2.10.0.0 lub nowszej. Do czasu aktualizacji ogranicz dostęp sieciowy do urządzeń wyłącznie do zaufanego segmentu zarządzania (management VLAN) i nigdy nie wystawiaj ich do publicznego internetu. Zwróć uwagę na łańcuch dostaw - zdjęcia i dokumentacja techniczna zawierające naklejki urządzeń mogą ujawnić dane uwierzytelniające.
Kogo dotyczy?
Podatność dotyczy produktu WattBox 800/820 firmy Snap One. Sprawdź czy Twoja organizacja korzysta z tych zarządzanych listew zasilających i wdroż aktualizację firmware’u oraz przegląd kontroli dostępu.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
