CISA가 Frangoteam FUXA SCADA/HMI의 인증 우회 취약점(CVE)을 경고했으며, 에너지·수자원 등 OT/ICS 환경에서 계정 정보 노출로 이어질 수 있어 보안 영향이 큼.
`CVE-2026-13207` 취약점 공개로 FUXA SCADA/HMI<=1.3.1 영향받는 것으로 공지됨
REST API의 dot-segment 경로 정규화 미흡으로 인증 미들웨어 적용 전 우회 가능하다고 설명됨
인증 없이 보호 엔드포인트 접근 가능하며 /api/./users, /api/./roles, /api/project/../users 등 예시 제시됨
공격 성공 시 모든 사용자 계정 및 역할(권한) 할당 열람 가능해진다고 요약됨
심각도는 CVSS v3 7.5로 기재됐으며, 적용 분야가 Critical Manufacturing·Energy·Water and Wastewater로 명시됨
전 세계 배포 제품으로 적시돼 OT 보안 점검/패치 수요 확대 가능성, 관련 보안 솔루션·서비스(취약점 관리/ICS 네트워크 모니터링) 수요 변수로 작용할 수 있음
English:
CISA warned of an auth-bypass flaw in Frangoteam FUXA SCADA/HMI, a potential issue for OT/ICS deployments where exposed user/role data can escalate risk in critical infrastructure.
Root cause described as dot-segment path normalization issues in the REST API routing before auth middleware is applied
Unauthenticated requests can reach protected endpoints using paths like /api/./users, /api/./roles, and /api/project/../users
Impact: attackers can enumerate all user accounts and role assignments without credentials
Severity listed as CVSS v3 7.5, with impacted sectors including Critical Manufacturing, Energy, and Water/Wastewater; deployment noted as worldwide
Could keep attention (and budgets) on OT security hygiene—patching cadence, vulnerability management, and ICS monitoring services—across critical-infra operators