Gratis scannen
Analyse in behandelingCVE-2026-26289

CVE-2026-26289: Informatielek in PowerSYSTEM Center

Platform

other

Component

subnet-solutions-powersystem-center

Opgelost in

5.28.1

Bekijk op NVD
Opslaan

CVE-2026-26289 beschrijft een informatielek in de PowerSYSTEM Center REST API. Een geauthenticeerde gebruiker met beperkte rechten kan via een endpoint gevoelige informatie inzien die normaal alleen toegankelijk is voor beheerders. Deze kwetsbaarheid treft PowerSYSTEM Center versies 5.8.0 tot en met 7.0.x. De kwetsbaarheid is verholpen in versie 5.28.1.

Impact en Aanvalsscenarios

Deze kwetsbaarheid stelt aanvallers in staat om gevoelige informatie te verkrijgen die anders beschermd zou moeten zijn. Dit kan omvatten configuratiegegevens, gebruikersnamen, wachtwoorden of andere interne details van het PowerSYSTEM Center systeem. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot het systeem en mogelijk tot verdere acties, zoals het wijzigen van configuraties of het verkrijgen van controle over beheerde apparaten. De impact is aanzienlijk, aangezien de blootgestelde informatie kan worden gebruikt voor verdere aanvallen of om de integriteit van het systeem in gevaar te brengen. Het is vergelijkbaar met scenario's waarbij interne documenten of databases per ongeluk toegankelijk worden gemaakt via een webinterface.

Uitbuitingscontext

De kwetsbaarheid is openbaar bekend sinds 2026-05-12. Er is geen informatie beschikbaar over actieve campagnes of public exploit code op het moment van schrijven. De EPSS score is nog niet bekend, maar de CVSS score van 8.2 (HIGH) duidt op een significant risico. Het is aan te raden om de kwetsbaarheid te patchen zo snel mogelijk om blootstelling te minimaliseren.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingGemiddeld

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L8.2HIGHAttack VectorAdjacentHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Aangrenzend — netwerknabijheid vereist: zelfde LAN, Bluetooth of lokaal draadloos segment.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentsubnet-solutions-powersystem-center
LeverancierSubnet Solutions
Minimumversie5.8.0
Maximumversie7.0.x
Opgelost in5.28.1

Zwakheidsclassificatie (CWE)

CWE-863

Tijdlijn

  1. Gepubliceerd
  2. Gewijzigd

Mitigatie en Workarounds

De primaire mitigatie is het upgraden van PowerSYSTEM Center naar versie 5.28.1 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan om de toegang tot de REST API endpoint te beperken met behulp van firewalls of toegangscontrolelijsten (ACL's). Configureer de API-gateway om onbevoegde aanvragen te blokkeren. Controleer de configuratie van PowerSYSTEM Center om te verzekeren dat gebruikers alleen de rechten hebben die ze nodig hebben. Na de upgrade, verifieer de fix door te proberen de gevoelige informatie via het REST API endpoint te benaderen met een gebruiker met beperkte rechten; de toegang zou nu geblokkeerd moeten zijn.

Hoe te verhelpenwordt vertaald…

Actualice PowerSYSTEM Center a la versión 5.28.1 o posterior, 6.1.1 o posterior, o 7.0.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema de autorización incorrecta en la API REST de exportación de cuentas de dispositivos, evitando la exposición de información sensible.

Veelgestelde vragen

Wat is CVE-2026-26289 — Informatielek in PowerSYSTEM Center?

CVE-2026-26289 beschrijft een kwetsbaarheid in PowerSYSTEM Center waarbij geauthenticeerde gebruikers met beperkte rechten gevoelige informatie kunnen inzien die normaal voor beheerders is gereserveerd, via een REST API endpoint.

Am I affected by CVE-2026-26289 in PowerSYSTEM Center?

Ja, als u PowerSYSTEM Center gebruikt in versie 5.8.0 tot en met 7.0.x, bent u mogelijk kwetsbaar voor deze informatielek.

How do I fix CVE-2026-26289 in PowerSYSTEM Center?

Upgrade PowerSYSTEM Center naar versie 5.28.1 of hoger om de kwetsbaarheid te verhelpen. Als een upgrade niet direct mogelijk is, beperk dan de toegang tot de REST API endpoint.

Is CVE-2026-26289 being actively exploited?

Op dit moment is er geen publieke informatie beschikbaar over actieve exploitatie van CVE-2026-26289, maar de hoge CVSS score vereist aandacht.

Where can I find the official PowerSYSTEM Center advisory for CVE-2026-26289?

Raadpleeg de officiële PowerSYSTEM Center documentatie en beveiligingsadviezen op de website van de leverancier voor de meest actuele informatie over CVE-2026-26289.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...