Im Mittelpunkt der CISA-Meldung stehen drei Schwachstellen in Daktronics-Controllern, die große Anzeigen des Unternehmens steuern. Betroffen sind laut der Warnung die Modelle VFC-DMP-5000, DMP-5000 und DMP-8000.

Die Liste umfasst eine Path-Traversal-Schwachstelle, die sich ohne Authentifizierung ausnutzen lässt, um beliebige Pfade im Dateisystem aufzulisten. Hinzu kommen eine Schwachstelle für beliebige Datei-Uploads nach Authentifizierung sowie voreingestellte Administrator-Zugangsdaten, die vollständigen Systemzugriff ermöglichen.

CISA formuliert die möglichen Folgen deutlich: Eine erfolgreiche Ausnutzung könne einem nicht authentifizierten Nutzer vollständigen Zugriff auf Root-Ebene und die Kontrolle über das System verschaffen. Daktronics hat nach Angaben der Behörde Sicherheitsupdates bereitgestellt und Anwendern empfohlen, Standardpasswörter zu ändern.

Thomas Jou, den die Meldung als Entdecker der Schwachstellen nennt, sagte SecurityWeek, er habe mehrere Controller gefunden, die direkt aus dem Internet erreichbar seien. Dadurch könnten Angreifer die Systeme aus der Ferne attackieren. Zugleich betonte der Forscher, dass es nicht am Hersteller, sondern an den Kunden von Daktronics liege, ihre Installationen nicht öffentlich im Internet verfügbar zu machen.

Jou zufolge beginnt das Risiko bereits bei vergleichsweise einfacher Aufklärung. Die Path-Traversal-Lücke ermögliche das Auslesen von Dateien vom Gerät und sei damit nützlich für Reconnaissance und die Suche nach Zugangsdaten. Zusätzlich seien die Geräte mit voreingestellten Administrator-Anmeldedaten ausgeliefert worden, deren Änderung nicht erzwungen worden sei. Feldtests hätten gezeigt, dass die Mehrheit der im Internet erreichbaren Geräte diese Standardzugänge weiterhin nutzte.

Auf dieser Basis könne die Datei-Upload-Schwachstelle dazu verwendet werden, vom Angreifer kontrollierte Inhalte oder Code auf das Gerät zu übertragen. Praktisch könne ein Angreifer damit manipulieren, was eine Anzeige darstellt. Jou nannte als Beispiele falsche oder bösartige Nachrichten auf Werbetafeln und Straßenbeschilderungen sowie gefälschte Warnhinweise. Auch eine vollständige Kompromittierung des Geräts sei möglich, wenngleich dieser letzte Schritt in der Praxis nicht trivial sei.

Laut Jou lief die Offenlegung über CISA und deren VINCE-Plattform. Gegenüber SecurityWeek erklärte er, er habe die Schwachstellen Anfang Januar 2026 über VINCE gemeldet. Der Hersteller habe die Erkenntnisse bestätigt, die technischen Details gemeinsam mit ihm und CISA bearbeitet und bis ungefähr Anfang März gepatchte Firmware-Versionen bereitgestellt. Die verbleibende Zeit bis zur Veröffentlichung sei vor allem für die Abstimmung der Warnmeldung und die Benachrichtigung von Kunden genutzt worden.

Daktronics hat auf eine Anfrage von SecurityWeek nach einer Stellungnahme dem Bericht zufolge nicht reagiert.