CVE-2025-12364Weak Password Policy.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
CVE-2026-25715The web management interface of the device allows the administrator
username and password to be set to blank values. Once applied, the
device permits authentication with empty credentials over the web
management interface and Telnet service. This effectively disables
authentication across all critical management channels, allowing any
network-adjacent attacker to gain full administrative control without
credentials.
CVE-2026-22278Dell PowerScale OneFS versions prior to 9.13.0.0 contains an improper restriction of excessive authentication attempts vulnerability. An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to Unauthorized access.
CVE-2025-7393Модуль Mail Login для Drupal содержит уязвимость обхода защиты от атак перебора, позволяющую злоумышленникам обойти защиту и потенциально получить доступ к учетной записи. Рекомендуется обновить модуль до версии 3.2.0 или 4.2.0 [1].
Источники:
- [1] https://www.drupal.org/sa-contrib-2025-088
CVE-2025-63807An issue was discovered in weijiang1994 university-bbs (aka Blogin) in commit 9e06bab430bfc729f27b4284ba7570db3b11ce84 (2025-01-13). A weak verification code generation mechanism combined with missing rate limiting allows attackers to perform brute-force attacks on verification codes without authentication. Successful exploitation may result in account takeover via password reset or other authentication bypass methods.
CVE-2025-63747QaTraq 6.9.2 ships with administrative account credentials which are enabled in default installations and permit immediate login via the web application login page. Because the account provides administrative privileges in the default configuration, an attacker who can reach the login page can gain administrative access.
CVE-2025-58587The application does not implement sufficient measures to prevent multiple failed authentication attempts within a short time frame, making it possible for an attacker to guess user credentials.
CVE-2025-56221В продукте SigningHub версии 8.6.8 (и ниже) отсутствует ограничение количества попыток входа в систему, что позволяет злоумышленнику без ограничения выполнять подбор паролей (brute‑force). Аутентификационный API /authenticate не реализует rate‑limit или блокировку учётных записей, повышая риск компрометации. Рекомендуется внедрить период охлаждения или ограничение запросов. Уязвимость исправлена в версиях > 8.6.8. [1] https://github.com/saykino/CVE-2025-56221
CVE-2025-55252HCL AION version 2 is affected by a Weak Password Policy vulnerability. This can allow the use of easily guessable passwords, potentially resulting in unauthorized access
CVE-2025-53963An issue was discovered on Thermo Fisher Ion Torrent OneTouch 2 INS1005527 devices. They run an SSH server accessible over the default port 22. The root account has a weak default password of ionadmin, and a password change policy for the root account is not enforced. Thus, an attacker with network connectivity can achieve root code execution. NOTE: This vulnerability only affects products that are no longer supported by the maintainer.
CVE-2025-49195Механизм входа на FTP-сервер не ограничивает попытки аутентификации, что позволяет злоумышленнику подобрать пароль пользователя и потенциально скомпрометировать FTP-сервер [1][2][3][4][5].
Источники:
- [1] https://sick.com/psirt
- [2] https://cdn.sick.com/media/docs/1/11/411/Special_information_CYBERSECURITY_BY_SICK_en_IM0084411.PDF
- [3] https://www.cisa.gov/resources-tools/resources/ics-recommended-practices
- [4] https://www.first.org/cvss/calculator/3.1
- [5] https://www.sick.com/.well-known/csaf/white/2025/sca-2025-0007.pdf
CVE-2025-48187RAGFlow версии до 0.18.1 позволяет осуществить захват аккаунта из-за возможности проведения успешных атак методом перебора против кодов подтверждения email для выполнения произвольной регистрации аккаунта, входа и сброса пароля. Коды состоят из шести цифр, и отсутствует ограничение скорости [1].
Дополнительная информация:
Уязвимость затрагивает конечные точки /api/verify-code и /api/signup, позволяя злоумышленникам регистрировать произвольные учетные записи, входить в систему и сбрасывать пароли [2].
Источники:
- [1] https://github.com/infiniflow/ragflow/commits/main/
- [2] https://www.cnblogs.com/qiushuo/p/18881084
CVE-2025-3709Agentflow от Flowring Technology содержит уязвимость обхода блокировки аккаунта, позволяющую неаутентифицированным удалённым злоумышленникам проводить атаки перебора пароля [1].
Источники:
- [1] https://www.twcert.org.tw/tw/cp-132-10091-12462-1.html
CVE-2025-28389Слабые требования к паролю в OpenC3 COSMOS v6.0.0 позволяют злоумышленникам обойти аутентификацию посредством атаки brute force [1][2].
Источники:
- [1] https://openc3.com/
- [2] https://visionspace.com/openc3-cosmos-a-security-assessment-of-an-open-source-mission-framework/
CVE-2025-28200В Victure RX1800 EN_V1.0.0_r12_110933 обнаружена уязвимость, связанная с использованием слабого пароля по умолчанию, который включает последние 8 цифр MAC-адреса.
Злоумышленник может воспользоваться этой уязвимостью для несанкционированного доступа к устройству [1].
Для эксплуатации уязвимости злоумышленнику необходимо знать MAC-адрес устройства.
Рекомендуется сменить пароль по умолчанию на более сложный и безопасный [2].
Источники:
- [1] http://victure.com
- [2] http://rx1800.com
- [3] https://pwnit.io/2025/02/13/finding-vulnerabilities-in-wi-fi-router/