CWE-321ВариантЧерновик
Использование жёстко запрограммированного криптографического ключа
Продукт использует жёстко запрограммированный, неизменяемый криптографический ключ.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-34256Advantech WISE-DeviceOn Server versions prior to 5.4 contain a hard-coded cryptographic key vulnerability. The product uses a static HS512 HMAC secret for signing EIRMMToken JWTs across all installations. The server accepts forged JWTs that need only contain a valid email claim, allowing a remote unauthenticated attacker to generate arbitrary tokens and impersonate any DeviceOn account, including the root super admin. Successful exploitation permits full administrative control of the DeviceOn instance and can be leveraged to execute code on managed agents through DeviceOn’s remote management features.
CVE-2025-34217В виртуальном аппарате и SaaS‑развертываниях Vasion Print (бывший PrinterLogic) обнаружен недокументированный пользователь «printerlogic» с жёстко заданным публичным SSH‑ключом в файле ~/.ssh/authorized_keys и правилом sudo, позволяющим группе printerlogic_ssh выполнять любые команды без пароля (NOPASSWD: ALL). Обладая соответствующим приватным ключом, злоумышленник получает root‑доступ к устройству. Уязвимость затрагивает версии Virtual Appliance Host < 25.1.102 и Application < 25.1.1413; все версии уязвимы.
Источники:
- [1] https://pierrekim.github.io/blog/2025-04-08-vasion-printerlogic-83-vulnerabilities.html#va-undocumented-hardcoded-ssh-key
- [2] https://help.printerlogic.com/va/Print/Security/Security-Bulletins.htm
- [3] https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
- [4] https://www.vulncheck.com/advisories/vasion-print-printerlogic-incorrect-encryption-algorithms-used-to-store-passwords
CVE-2025-12599Multiple Devices are Sharing the Same Secrets for SDKSocket (TCP/5000).This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
CVE-2024-30207Была выявлена уязвимость в SIMATIC RTLS Locating Manager (6GT2780-0DA00) (все версии < V3.0.1.1), SIMATIC RTLS Locating Manager (6GT2780-0DA10) (все версии < V3.0.1.1), SIMATIC RTLS Locating Manager (6GT2780-0DA20) (все версии < V3.0.1.1), SIMATIC RTLS Locating Manager (6GT2780-0DA30) (все версии < V3.0.1.1), SIMATIC RTLS Locating Manager (6GT2780-1EA10) (все версии < V3.0.1.1), SIMATIC RTLS Locating Manager (6GT2780-1EA20) (все версии < V3.0.1.1), SIMATIC RTLS Locating Manager (6GT2780-1EA30) (все версии < V3.0.1.1). В затронутых системах используется симметричная криптография с жестко закодированным ключом для защиты связи между клиентом и сервером. Это может позволить не прошедшему проверку подлинности удаленному злоумышленнику скомпрометировать конфиденциальность и целостность связи и, следовательно, доступность системы.
Для успешной эксплуатации требуется, чтобы злоумышленник получил знания о жестко закодированном ключе и мог перехватывать связь между клиентом и сервером в сети.
CVE-2016-9335Уязвимость жестко закодированного криптографического ключа была выявлена в промышленных коммутаторах Red Lion Controls Sixnet-Managed, работающих под управлением встроенного ПО версии 5.0.196, и коммутаторах Stride-Managed Ethernet, работающих под управлением встроенного ПО версии 5.0.190. Уязвимые версии коммутаторов Stride-Managed Ethernet и промышленных коммутаторов Sixnet-Managed используют жестко закодированные HTTP SSL/SSH-ключи для безопасной связи. Поскольку эти ключи не могут быть сгенерированы пользователями, все продукты используют один и тот же ключ. Злоумышленник может нарушить связь или скомпрометировать систему. Базовая оценка CVSS v3: 10, строка вектора CVSS: (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Red Lion Controls рекомендует обновить встроенное ПО SLX до версии 5.3.174.
CVE-2024-35344Некоторые продукты Anpviz содержат жестко закодированный криптографический ключ, хранящийся в прошивке устройства. Это затрагивает IPC-D250, IPC-D260, IPC-B850, IPC-D850, IPC-D350, IPC-D3150, IPC-D4250, IPC-D380, IPC-D880, IPC-D280, IPC-D3180, MC800N, YM500L, YM800N_N2, YMF50B, YM800SV2, YM500L8 и YM200E10 с прошивкой v3.2.2.2 и ниже, а также, возможно, больше моделей IP-камер.
CVE-2026-22906User credentials are stored using AES‑ECB encryption with a hardcoded key. An unauthenticated remote attacker obtaining the configuration file can decrypt and recover plaintext usernames and passwords, especially when combined with the authentication bypass.
CVE-2026-22586Hard-coded Cryptographic Key vulnerability in Salesforce Marketing Cloud Engagement (CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, View As Webpage modules) allows Web Services Protocol Manipulation. This issue affects Marketing Cloud Engagement: before January 21st, 2026.
CVE-2025-8625Плагин Copypress Rest API для WordPress (версии 1.1‑1.2) уязвим к удалённому выполнению кода (Remote Code Execution). Функция copyreap_handle_image() использует JWT‑подпись; если параметр secret не задан, применяется жёстко зашитый ключ. Плагин также не ограничивает типы файлов, которые могут быть получены и сохранены как вложения, что позволяет неаутентифицированному атакующему создать поддельный токен, загрузить произвольный файл (например, PHP‑скрипт) и выполнить его на сервере [1][2].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/3045c9e5-4095-48e5-8d9d-16a091e69d54?source=cve
- [2] https://wordpress.org/plugins/copypress-rest-api/#developers
CVE-2025-67305In RUCKUS Network Director (RND) < 4.5.0.56, the OVA appliance contains hardcoded SSH keys for the postgres user. These keys are identical across all deployments, allowing an attacker with network access to authenticate via SSH without a password. Once authenticated, the attacker can access the PostgreSQL database with superuser privileges, create administrative users for the web interface, and potentially escalate privileges further.
CVE-2025-62581Delta Electronics DIAView has multiple vulnerabilities.
CVE-2025-59407Приложение DetectionProcessing (com.flocksafety.android.objects) версии 6.35.33 для Android, используемое в устройствах Falcon, Sparrow и Bravo Edge, включает Java‑keystore «flock_rye.bks» с жёстко прописанным паролем «flockhibiki17». Keystore хранится в каталоге /system-apps/flock-object/res/raw/ и содержит закрытый ключ, что позволяет злоумышленнику извлечь сертификат и ключ, если получит доступ к прошивке. Информация из источника 1 [1].
Источники:
- [1] https://gainsec.com/wp-content/uploads/2025/09/Root-from-the-Coop-Device-3_-Root-Shell-on-Flock-Safetys-Bravo-Compute-Box-GainSec.pdf
- [2] https://www.flocksafety.com/products
- [3] https://www.flocksafety.com/products/license-plate-readers
- [4] https://gainsec.com/2025/09/27/fly-by-device-2-the-falcon-sparrow-gated-wireless-rce-camera-feed-dos-information-disclosure-and-more/
CVE-2025-57174В устройствах Siklu Communications Etherhaul 8010TX и 1200FX с прошивкой от 7.4.0 до 10.7.3 и, возможно, в других версиях серии Etherhaul с общей прошивкой, обнаружена уязвимость. Сервис rfpiped, прослушивающий TCP-порт 555, использует статические ключи шифрования AES, жестко закодированные в бинарном файле. Эти ключи идентичны для всех устройств, что позволяет злоумышленникам создавать зашифрованные пакеты, выполняющие произвольные команды без аутентификации. Это является неудачным исправлением CVE-2017-7318. Уязвимость позволяет удаленным злоумышленникам выполнять произвольные команды CLI без аутентификации, потенциально приводя к полной компрометации устройства и использованию его в качестве точки входа в защищенные сети [1].
Источники:
- [1] https://semaja2.net/2025/08/02/siklu-eh-unauthenticated-rce/
- [2] http://ceragon.com
- [3] http://etherhaul.com
CVE-2025-55619Reolink v4.54.0.4.20250526 was discovered to contain a hardcoded encryption key and initialization vector. An attacker can leverage this vulnerability to decrypt access tokens and web session tokens stored inside the app via reverse engineering.
CVE-2025-54947In Apache StreamPark versions 2.0.0 through 2.1.7, a security vulnerability involving a hard-coded encryption key exists. This vulnerability occurs because the system uses a fixed, immutable key for encryption instead of dynamically generating or securely configuring the key. Attackers may obtain this key through reverse engineering or code analysis, potentially decrypting sensitive data or forging encrypted information, leading to information disclosure or unauthorized system access.
This issue affects Apache StreamPark: from 2.0.0 before 2.1.7.
Users are recommended to upgrade to version 2.1.7, which fixes the issue.