CWE-1393БазаНеполный
Использование пароля по умолчанию
Продукт использует пароли по умолчанию для потенциально критически важных функций.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-26793Конфигурационная панель Web GUI Hirsch (ранее Identiv и Viscount) Enterphone MESH до 2024 года поставляется с учетными данными по умолчанию (имя пользователя freedom, пароль viscount). Администратор не получает запроса на изменение этих учетных данных при первоначальной настройке, и изменение учетных данных требует множества действий. Злоумышленники могут использовать учетные данные через Интернет через mesh.webadmin.MESHAdminServlet, чтобы получить доступ к десяткам многоквартирных зданий в Канаде и США и получить личную информацию о жителях зданий. ПРИМЕЧАНИЕ: точка зрения поставщика заключается в том, что "уязвимые системы не следуют рекомендациям производителей по изменению пароля по умолчанию."
CVE-2025-26701Проблема была обнаружена в Percona PMM Server (OVA) до 3.0.0-1.ova. Учетные данные учетной записи службы по умолчанию могут привести к доступу по SSH, использованию Sudo для root и утечке конфиденциальных данных. Это исправлено в PMM2 2.42.0-1.ova, 2.43.0-1.ova, 2.43.1-1.ova, 2.43.2-1.ova и 2.44.0-1.ova и в PMM3 3.0.0-1.ova и позже.
CVE-2026-2635MLflow Use of Default Password Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of MLflow. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the basic_auth.ini file. The file contains hard-coded default credentials. An attacker can leverage this vulnerability to bypass authentication and execute arbitrary code in the context of the administrator. Was ZDI-CAN-28256.
CVE-2025-8077В NeuVector версий до 5.4.5 включительно существует уязвимость, связанная с использованием фиксированной строки в качестве пароля по умолчанию для встроенной учетной записи 'admin'. Если этот пароль не изменить сразу после развертывания, любая рабочая нагрузка с сетевым доступом в кластере может использовать учетные данные по умолчанию для получения токена аутентификации. Этот токен может быть использован для выполнения любой операции через API NeuVector [1].
В версиях ранее 5.4.6 NeuVector поддерживает установку пароля по умолчанию (bootstrap) для учетной записи admin с помощью Kubernetes Secret с именем neuvector-bootstrap-secret. Однако, если NeuVector не может получить это значение, он возвращается к фиксированному паролю по умолчанию [1].
Источники:
- [1] https://bugzilla.suse.com/show_bug.cgi?id=CVE-2025-8077
- [2] https://github.com/neuvector/neuvector/security/advisories/GHSA-8pxw-9c75-6w56
CVE-2025-27690Dell PowerScale OneFS версий от 9.5.0.0 до 9.10.1.0 содержит уязвимость использования пароля по умолчанию. Неавторизованный злоумышленник с удалённым доступом может потенциально использовать эту уязвимость, что приведёт к захвату учётной записи пользователя с высокими привилегиями. [1]
Источники:
- [1] https://www.dell.com/support/kbdoc/en-us/000300860/dsa-2025-119-security-update-for-dell-powerscale-onefs-for-multiple-security-vulnerabilities
CVE-2025-22938Adtran 411 ONT L80.00.0011.M2 была обнаружена слабыми паролями по умолчанию.
CVE-2024-30802An issue in Vehicle Management System 7.31.0.3_20230412 allows an attacker to escalate privileges via the login.html component.
CVE-2024-29666Уязвимость небезопасных разрешений в системе платформы мониторинга транспортных средств CMSV6 v.7.31.0.2 до v.7.32.0.3 позволяет удаленному злоумышленнику повышать привилегии через компонент пароля по умолчанию.
CVE-2023-45249Удаленное выполнение команды из-за использования учетных данных по умолчанию. Затронутые продукты: Acronis Cyber Infrastructure (ACI) до сборки 5.0.1-61, Acronis Cyber Infrastructure (ACI) до сборки 5.1.1-71, Acronis Cyber Infrastructure (ACI) до сборки 5.2.1-69, Acronis Cyber Infrastructure (ACI) до сборки 5.3.1-53, Acronis Cyber Infrastructure (ACI) до сборки 5.4.4-132.
CVE-2023-32090Клиенты платформы Pega, использующие версии с 6.1 по 7.3.1, могут использовать учетные данные по умолчанию.
CVE-2023-28094Клиенты платформы Pega, использующие версии с 7.4 по 8.8.x и обновившиеся с версии до 8.x, могут использовать учетные данные по умолчанию.
CVE-2023-25131Уязвимость использования пароля по умолчанию в PowerPanel Business Local/Remote для Windows v4.8.6 и более ранних версий, PowerPanel Business Management для Windows v4.8.6 и более ранних версий, PowerPanel Business Local/Remote для Linux 32bit v4.8.6 и более ранних версий, PowerPanel Business Local/Remote для Linux 64bit v4.8.6 и более ранних версий, PowerPanel Business Management для Linux 32bit v4.8.6 и более ранних версий, PowerPanel Business Management для Linux 64bit v4.8.6 и более ранних версий, PowerPanel Business Local/Remote для MacOS v4.8.6 и более ранних версий и PowerPanel Business Management для MacOS v4.8.6 и более ранних версий позволяет удаленным злоумышленникам напрямую входить на сервер для выполнения административных функций. При установке или первом входе в систему приложение не предлагает пользователю изменить пароль «admin».
CVE-2022-4126Использование уязвимости дефолтного пароля в ABB RCCMD на Windows, Linux, MacOS позволяет попробовать общие или дефолтные имена пользователей и пароли. Эта проблема затрагивает RCCMD: до 4.40 230207.
CVE-2026-24429Shenzhen Tenda W30E V2 firmware versions up to and including V16.01.0.19(5037) ship with a predefined default password for a built-in authentication account that is not required to be changed during initial configuration. An attacker can leverage these default credentials to gain authenticated access to the management interface.
CVE-2025-66050Vivotek IP7137 camera with firmware version 0200a by default dos not require to provide any password when logging in as an administrator. While it is possible to set up such a password, a user is not informed about such a need.
The vendor has not replied to the CNA. Possibly all firmware versions are affected. Since the product has met End-Of-Life phase, a fix is not expected to be released.