← volver
CVE-2025-26793

CVE-2025-26793

CVSS 10 CRITICALEPSS 2.3%CWE-1393
En resumen

Los sistemas Hirsch Enterphone MESH vienen con nombre de usuario y contraseña predefinidos (freedom/viscount) que los usuarios no están obligados a cambiar durante la configuración inicial. Los atacantes pueden utilizar estas credenciales por internet para acceder a paneles de control de edificios y robar información personal de residentes en docenas de edificios residenciales de América del Norte.

Detalle técnico

Vulnerabilidad CWE-1393 de credenciales por defecto en la Web GUI de Enterphone MESH (mesh.webadmin.MESHAdminServlet) permite que atacantes remotos obtengan acceso administrativo sin cambiar las credenciales predefinidas durante la configuración inicial. Precondición: credenciales por defecto permanecen sin modificar; impacto incluye acceso no autorizado a sistemas de gestión de edificios y exposición de datos personales de residentes en múltiples instalaciones.

Resumen generado y traducido por IA a partir de la descripción oficial.
The Web GUI configuration panel of Hirsch (formerly Identiv and Viscount) Enterphone MESH through 2024 ships with default credentials (username freedom, password viscount). The administrator is not prompted to change these credentials on initial configuration, and changing the credentials requires many steps. Attackers can use the credentials over the Internet via mesh.webadmin.MESHAdminServlet to gain access to dozens of Canadian and U.S. apartment buildings and obtain building residents' PII. NOTE: the Supplier's perspective is that the "vulnerable systems are not following manufacturers' recommendations to change the default password."
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/MSI:S/S:P
Productos afectados
Hirsch · Enterphone MESH

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://news.ycombinator.com/item?id=43160884https://support.identiv.com/products/physical-access/hirsch/https://www.ericdaigle.ca/posts/breaking-into-dozens-of-apartments-in-five-minutes/