Scanner gratuitement
Analyse en attenteCVE-2026-26289

CVE-2026-26289: Information Disclosure in PowerSYSTEM Center

Plateforme

other

Composant

subnet-solutions-powersystem-center

Corrigé dans

5.28.1

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-26289 affecte PowerSYSTEM Center, une solution de gestion de l'énergie. Elle se manifeste par une divulgation d'informations via une API REST mal sécurisée, permettant à un utilisateur authentifié disposant de permissions limitées d'accéder à des données sensibles normalement protégées. Les versions concernées sont comprises entre 5.8.0 et 7.0.x inclus. Une correction est disponible dans la version 5.28.1.

Impact et Scénarios d'Attaque

Cette vulnérabilité permet à un attaquant authentifié, même avec des privilèges limités, d'extraire des informations sensibles normalement accessibles uniquement aux administrateurs du système PowerSYSTEM Center. Les données compromises pourraient inclure des informations de configuration, des clés d'accès, ou d'autres données sensibles relatives à la gestion de l'énergie. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant de compromettre la sécurité du système, d'accéder à des données confidentielles, et potentiellement de perturber les opérations de gestion de l'énergie. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la nature de la divulgation d'informations rend cette vulnérabilité préoccupante.

Contexte d'Exploitation

La vulnérabilité CVE-2026-26289 a été publiée le 12 mai 2026. Sa sévérité est évaluée à HIGH (8.2 CVSS). Il n'y a pas d'indications d'exploitation active ou de présence sur KEV (Kernel Exploit Vulnerability Database) ou EPSS (Exploit Prediction Scoring System) à ce jour. Aucun Proof of Concept (POC) public n'est actuellement disponible, mais la nature de la vulnérabilité suggère qu'elle pourrait être exploitée par des acteurs malveillants disposant de compétences techniques.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetMoyenne

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L8.2HIGHAttack VectorAdjacentComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Adjacent — nécessite une proximité réseau: même LAN, Bluetooth ou segment local.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantsubnet-solutions-powersystem-center
FournisseurSubnet Solutions
Version minimale5.8.0
Version maximale7.0.x
Corrigé dans5.28.1

Classification de Faiblesse (CWE)

CWE-863

Chronologie

  1. Publiée
  2. Modifiée

Mitigation et Contournements

La mitigation principale consiste à mettre à jour PowerSYSTEM Center vers la version 5.28.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de restreindre l'accès à l'API REST en configurant des règles de pare-feu ou de proxy pour bloquer les requêtes non autorisées. Il est également recommandé de revoir les permissions des utilisateurs et de s'assurer que seuls les utilisateurs autorisés ont accès aux données sensibles. Après la mise à jour, vérifiez l'intégrité du système en effectuant un test de conformité pour vous assurer que l'API REST est correctement sécurisée et que l'accès aux données sensibles est restreint.

Comment corrigertraduction en cours…

Actualice PowerSYSTEM Center a la versión 5.28.1 o posterior, 6.1.1 o posterior, o 7.0.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema de autorización incorrecta en la API REST de exportación de cuentas de dispositivos, evitando la exposición de información sensible.

Questions fréquentes

Que signifie CVE-2026-26289 — Divulgation d'informations dans PowerSYSTEM Center ?

CVE-2026-26289 décrit une vulnérabilité de divulgation d'informations dans PowerSYSTEM Center, permettant à un utilisateur authentifié d'accéder à des données sensibles. Elle affecte les versions 5.8.0–7.0.x et est corrigée dans la version 5.28.1.

Suis-je affecté par CVE-2026-26289 dans PowerSYSTEM Center ?

Vous êtes affecté si vous utilisez PowerSYSTEM Center versions 5.8.0 à 7.0.x inclus. Vérifiez votre version actuelle et mettez à jour vers 5.28.1 ou supérieur pour vous protéger.

Comment corriger CVE-2026-26289 dans PowerSYSTEM Center ?

La correction consiste à mettre à jour PowerSYSTEM Center vers la version 5.28.1 ou supérieure. En attendant, restreignez l'accès à l'API REST via des règles de pare-feu ou de proxy.

CVE-2026-26289 est-il activement exploité ?

À ce jour, il n'y a pas d'indications d'exploitation active de CVE-2026-26289, mais la vulnérabilité reste préoccupante en raison de la nature de la divulgation d'informations.

Où puis-je trouver l'avis officiel de PowerSYSTEM Center pour CVE-2026-26289 ?

Consultez le site web de PowerSYSTEM Center ou leur portail de support pour l'avis de sécurité officiel concernant CVE-2026-26289. L'avis devrait contenir des informations détaillées sur la vulnérabilité et les étapes de correction.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...