Frangoteam FUXA SCADA/HMI'de Kimlik Doğrulama Atlama Zafiyeti
Frangoteam FUXA SCADA/HMI'de keşfedilen bir zafiyet, kimlik doğrulama atlama saldırısına imkan tanıyor. Bu, saldırganların kullanıcı hesaplarını ve rollerini listelemesine olanak sağlıyor. Etkilenen sürümler, 1.3.1 ve önceki sürümlerdir. Zafiyet, REST API'de nokta-segment yol normalizasyonundaki bir hatadan kaynaklanıyor. API router, kimlik doğrulama ara yazılımını uygulamadan önce nokta-segment dizilerini normalize etmediği için, saldırganlar korumalı uç noktalara erişerek hassas kullanıcı ve rol verilerini kimlik bilgileri olmadan elde edebiliyorlar.
Zafiyet, CVE-2026-13207 olarak tanımlanıyor ve CVSS v3.1'de 7.5 puanla yüksek düzeyde tehlikeli olarak sınıflandırılıyor. Etkilenen ürünler, Frangoteam FUXA SCADA/HMI'nin 1.3.1 ve önceki sürümleridir. Ürünün üreticisi, en son 1.3.2 veya daha sonraki bir sürüme geçilmesini öneriyor.
Bu zafiyet, kritik altyapı sektörlerinde kullanılan ürünler için önemli bir tehdit oluşturuyor. Enerji, su ve atık su sektörleri gibi kritik sektörlerde kullanılan FUXA SCADA/HMI, bu zafiyet nedeniyle güvenlik açığıyla karşı karşıya kalabilir.
Kullanıcılar, bu zafiyeti gidermek için en son sürüme geçmeleri tavsiye ediliyor. Ayrıca, sistem yöneticileri, ağ güvenlik duvarlarını ve diğer güvenlik önlemlerini gözden geçirmelidir.
Kaynak: CISA

