CVE-2026-25938

Nome do Software Vulnerável e Versões Afetadas Versões do FUXA de 1.2.8 a 1.2.10

Descrição O FUXA é um software de Visualização de Processos baseado na web (SCADA/HMI/Dashboard). Um bypass de autenticação no FUXA permite que um atacante remoto execute código arbitrário no servidor quando o plugin Node-RED está habilitado. O problema decorre de uma falha na verificação de tokens JWT em rotas proxy. A exploração envolve o envio de uma requisição manipulada para o endpoint da API /nodered/flows, contornando as verificações de autenticação e concedendo acesso administrativo à API de implantação do Node-RED. O envio de uma configuração de fluxo maliciosa pode, então, levar à execução arbitrária de código no contexto do serviço FUXA.

Recomendações Atualize o FUXA para a versão 1.2.11 ou posterior.