Schwachstelle CVE-2026-3611 erlaubt Zugriff auf Honeywell IQ4x Gebäudemanagement-Controller
⚠️ CVE-Referenzen:
CVE-2026-3611
Zusammenfassung
Der Honeywell IQ4x Gebäudemanagement-Controller hat eine kritische Sicherheitslücke, die es Angreifern ermöglicht, ohne Authentifizierung vollen Zugriff auf die Web-Oberfläche zu erlangen. Standardmäßig läuft das System im "System Guest"-Modus, was einen unkontrollierten Lese- und Schreibzugriff auf die HTTP-Schnittstelle erlaubt. Angreifer können darüber neue Administratorkonten erstellen und so die legitimen Nutzer von der Verwaltung des Systems ausschließen. Dies stellt ein ernsthaftes Risiko für die Integrität von Gebäudemanagementsystemen dar.
Honeywell - Iq4e - CRITICAL - CVE-2026-3611.
The Honeywell IQ4x building management controller presents a significant security concern as it exposes its entire web-based human-machine interface (HMI) without authentication in its factory-default configuration. By default, the system operates under a System Guest context, allowing unrestricted read/write access to the HTTP interface. A remote attacker can exploit this vulnerability to create a new account with administrative privileges before any authentication is enforced, effectively locking out legitimate users from local and web-based management functionalities. The inability to securely manage user access poses a serious risk to the integrity of building management systems.
Quelle: securityvulnerability.io