CVE-2025-26793

Nome do Software Vulnerável e Versões Afetadas: Versões do Hirsch Enterphone MESH até 2024

Descrição: O painel de configuração Web GUI do Hirsch Enterphone MESH é entregue com credenciais padrão, username freedom e password viscount. O administrador não é solicitado a alterar essas credenciais na configuração inicial, e alterá-las requer muitas etapas. Atacantes podem usar as credenciais pela Internet via "mesh.webadmin.MESHAdminServlet" para obter acesso a dezenas de prédios de apartamentos no Canadá e nos Estados Unidos e obter informações pessoalmente identificáveis (PII) dos residentes dos prédios.

Recomendações: Para as versões do Hirsch Enterphone MESH até 2024, altere as credenciais padrão o mais rápido possível, seguindo as recomendações do fabricante para proteger o sistema. Como solução temporária, considere restringir o acesso ao endpoint "mesh.webadmin.MESHAdminServlet" até que as credenciais padrão sejam alteradas. Além disso, revise e siga as diretrizes do fabricante para proteger o painel de configuração Web GUI e prevenir acesso não autorizado.