Missing Initial Password Change

Los dispositivos nuevos vienen con una contraseña predeterminada que los usuarios no están obligados a cambiar durante la configuración, lo que los deja vulnerables si alguien conoce esa contraseña.

Vulnerabilidad CWE-20 (Validación Inadecuada de Entrada) en BLU-IC2 y BLU-IC4 (versiones ≤1.19.5) donde el cambio obligatorio de contraseña inicial no se implementa durante el aprovisionamiento del dispositivo. Un atacante sin autenticación previa con acceso a la red puede autenticarse utilizando credenciales predeterminadas conocidas, eludiendo los controles de autenticación y obteniendo acceso total al dispositivo.