Krytyczna luka w Vvveb umożliwiająca nieautoryzowany dostęp do bazy danych przez phpMyAdmin
Luka w Vvveb przed 1.0.8.2 pozwala na nieautoryzowany dostęp do phpMyAdmin i pełną kontrolę nad bazą danych. Zalecana szybka aktualizacja.
- CVSS
- 9.2 CRITICAL
- EPSS
- 26.7%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach Vvveb przed 1.0.8.2 wykryto lukę polegającą na twardo zakodowanych poświadczeniach w pliku docker-compose-apache.yaml. Pozwala to nieautoryzowanym atakującym na dostęp do kontenera phpMyAdmin i pełny odczyt oraz zapis w bazie danych, w tym dane administratorów i klientów.
Wpływ biznesowy
Luka umożliwia atakującym przejęcie kont administratorów oraz manipulację danymi klientów i zamówień, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania klientów. Infrastruktura korzystająca z podatnej wersji Vvveb jest narażona na krytyczne naruszenia danych i potencjalne szkody finansowe.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Vvveb do wersji 1.0.8.2 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do kontenera phpMyAdmin, przejrzeć logi pod kątem podejrzanej aktywności oraz wdrożyć dodatkowe mechanizmy uwierzytelniania i monitoringu. Priorytetowo traktuj przegląd i zabezpieczenie środowiska.