CVE-2026-3611

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-3611
The Honeywell IQ4x building management controller, exposes its full web-based HMI without authentication in its factory-default configuration. With no user module configured, security is disabled by design and the system operates under a System Guest (level 100) context, granting read/write privileges to any party able to reach the HTTP interface. Authentication controls are only enforced after a web user is created via U.htm, which dynamically enables the user module. Because this function is accessible prior to authentication, a remote user can create a new account with administrative read/write permissions enabling the user module and imposing authentication under attacker-controlled credentials. This action can effectively lock legitimate operators out of local and web-based configuration and administration.

10.0 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 6.0

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope CHANGED

References
Link Resource
https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-069-03.json
https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-03
https://www.honeywell.com/us/en/contact
Configurations

No configuration.

History

13 Mar 2026, 20:06

Type Values Removed Values Added
Summary
  • (es) El controlador de gestión de edificios Honeywell IQ4x expone su HMI completo basado en web sin autenticación en su configuración predeterminada de fábrica. Al no tener ningún módulo de usuario configurado, la seguridad está deshabilitada por diseño y el sistema opera bajo un contexto de Invitado del Sistema (nivel 100), otorgando privilegios de lectura/escritura a cualquier parte capaz de alcanzar la interfaz HTTP. Los controles de autenticación solo se aplican después de que se crea un usuario web a través de U.htm, lo que habilita dinámicamente el módulo de usuario. Debido a que esta función es accesible antes de la autenticación, un usuario remoto puede crear una nueva cuenta con permisos administrativos de lectura/escritura, habilitando el módulo de usuario e imponiendo la autenticación bajo credenciales controladas por el atacante. Esta acción puede bloquear eficazmente a los operadores legítimos de la configuración y administración local y basada en web.

12 Mar 2026, 21:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-12 21:16

Updated : 2026-03-13 20:06

NVD link : CVE-2026-3611

Mitre link : CVE-2026-3611

CVE.ORG link : CVE-2026-3611

JSON object : View

Products Affected

No product.

CWE
CWE-306

Missing Authentication for Critical Function