CVE-2026-3611Контроллер управления зданием Honeywell IQ4x обнажает свой полный веб-сайт HMI без аутентификации в конфигурации по умолчанию. Без настройки пользовательского модуля безопасность отключается по дизайну, и система работает в контексте System Guest (уровень 100), предоставляя привилегии чтения/записи любой стороне, способной достичь интерфейса HTTP. Контроль аутентификации обеспечивается только после создания веб-пользователя через U.htm, который динамически включает пользовательский модуль. Поскольку эта функция доступна до аутентификации, удаленный пользователь может создать новую учетную запись с административными разрешениями чтения/записи, позволяющими использовать модуль пользователя и налагать аутентификацию под учетными данные, контролируемые злоумышленником. Это действие может эффективно блокировать законных операторов из локальной и веб-конфигурации и администрирования.