PT-2026-7184 · Fuxa · Fuxa
Wodzen
·
Publicado
2026-02-05
·
Atualizado
2026-02-10
·
CVE-2026-25893
CVSS v4.0
10
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do FUXA anteriores à 1.2.10
Descrição
O FUXA é um software de visualização de processos baseado na web. Existe uma vulnerabilidade que permite que um atacante remoto não autenticado obtenha acesso administrativo por meio da API de atualização de heartbeat e execute código arbitrário no servidor. Isso é possível quando a configuração
runtime.settings.secureEnabled está definida como true. A exploração envolve a emissão de JWTs de administrador por meio do endpoint de atualização de heartbeat, permitindo interação com APIs administrativas e possível comprometimento completo do sistema, o que pode afetar ambientes ICS/SCADA conectados. O endpoint da API envolvido é a API de atualização de heartbeat.Recomendações
Atualize para a versão 1.2.10 do FUXA ou posterior.
Exploit
Correção
RCE
Improper Authorization
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fuxa