Samstag · 11.07.2026 Ausgabe 3376 RSS
Nachrichten Cybersicherheit täglich
CVE-2026-11405

Beschreibung

Die Schwachstelle betrifft den Webserver des Geräts, konkret die Login-Funktion in der ausführbaren Datei /bin/httpd. Dort ist eine versteckte Hintertür zur Authentifizierung eingebaut. Regulär prüft die Funktion Passwörter über ein hash-basiertes Verfahren. Schlägt diese normale Anmeldung fehl, liest der Code jedoch zusätzlich ein fest hinterlegtes Hintertür-Passwort aus der Gerätekonfiguration aus und vergleicht es unmittelbar im Klartext mit dem eingegebenen Passwort – ohne jede Verschlüsselung oder Prüfsumme. Stimmt der Wert überein, wird die Anmeldung als gültig akzeptiert, eine Sitzung erzeugt und dem Nutzer die Administratorrolle mit den höchsten Rechten zugewiesen. Der zugehörige Benutzername wird dabei nie überprüft: Die Hintertür funktioniert mit jedem beliebigen Kontonamen. Wer das hinterlegte Passwort kennt, kann sich damit an der Weboberfläche als Administrator anmelden und das Gerät vollständig übernehmen. Da es sich um einen bewusst eingebauten Zugangsweg handelt, umgeht er die normale Zugangskontrolle vollständig.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln