Delta Electronics - CVE-2026-9642
Date de publication :
Il s'agit d'une vulnérabilité de contournement de correctif dans Delta Electronics DIAView.
DIAView est un logiciel SCADA (Supervisory Control and Data Acquisition) et HMI (Human-Machine Interface) développé par Delta Electronics, destiné à la supervision et au contrôle d'équipements industriels et de systèmes automatisés.
Le correctif publié pour CVE-2025-62582 (accès non authentifié aux bases de données) reposait sur l'utilisation d'une clé cryptographique codée en dur pour protéger l'accès aux bases de données configurées dans un projet DIAView. Cette clé statique, intégrée directement dans le code de l'application, peut être extraite par un attaquant et réutilisée pour reproduire le mécanisme de protection contourné. Un attaquant distant non authentifié peut ainsi accéder directement aux bases de données configurées dans n'importe quel projet DIAView exposé sur le réseau. Delta Electronics a reconnu la limitation du correctif et indiqué qu'une protection renforcée des clés serait apportée dans une version future.
Elle permet une atteinte à la confidentialité des données et une atteinte à l'intégrité des données par accès non autorisé aux bases de données du projet.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-321 : Use of Hard-coded Cryptographic Key
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Delta Electronics DIAView version V4.4 et toutes versions antérieures