CVE-2026-35089
Use of Weak Credentials in Slican telephone exchanges
Em resumo
Centrais telefônicas Slican geram chaves de segurança de forma previsível usando informações que qualquer pessoa pode obter. Um atacante consegue descobrir a chave e ganhar acesso de administrador sem precisar de senha.
Detalhe técnico
Vulnerabilidade CWE-1391: atacantes não autenticados podem deduzir chaves criptográficas geradas a partir de propriedades obtidas da central telefônica, resultando em obtenção de credenciais admin. Afeta múltiplas versões dos modelos IPx, CCT-1668, MAC-6400 e CXS-0424; dispositivos fora de suporte (versões 4.xx e anteriores) permanecem desprotegidos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In Slican telephone exchanges secure key is generated in a predictable manner using properties of the telephone exchange which can be obtained without authentication. An unauthenticated attacker can deduce the secure key and obtain admin credentials.
This issue was fixed in versions below:
- IPx series: version 6.61.0040
- CCT-1668: version 6.56.0430
- MAC-6400: version 6.56.0430
- CXS-0424: version 6.30.0510
The issue STILL EXISTS in End-Of-Life telephone exchanges in versions 4.xx and below:
- CCT-1668 (CCT1CPU)
- MAC-6400
- CXS-0424
These products were discontinued in 2011 and 2012 and and will not receive updates. These products require a hardware update in order to receive a software update. The vendor recommends that users of these devices contact the their service department directly to determine the options for upgrading.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://cert.pl/posts/2026/05/CVE-2026-35087