Krytyczna luka w Open ISES Tickets przed wersją 3.44.2 umożliwia ujawnienie danych dostępowych do bazy MySQL
Krytyczna luka w Open ISES Tickets przed 3.44.2 umożliwia dostęp do danych logowania MySQL. Zalecana szybka aktualizacja i ograniczenie dostępu.
- CVSS
- 9.2 CRITICAL
- EPSS
- 22.24%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach Open ISES Tickets przed 3.44.2 w pliku loader.php znajdują się na stałe zapisane dane logowania do bazy MySQL, dostępne publicznie w repozytorium źródłowym. Osoby mające dostęp do kodu lub pliku na wdrożeniu mogą uzyskać dane użytkownika, hasło i nazwę bazy, co pozwala na połączenie z bazą, jeśli jest osiągalna z ich sieci.
Wpływ biznesowy
Ta luka stwarza poważne ryzyko nieautoryzowanego dostępu do bazy danych, co może prowadzić do wycieku, modyfikacji lub usunięcia danych. Atakujący mogą wykorzystać te informacje do eskalacji ataku na infrastrukturę IT, powodując poważne zakłócenia w działaniu usług i potencjalne straty finansowe oraz reputacyjne.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zweryfikować wersję Open ISES Tickets i zaktualizować oprogramowanie do wersji 3.44.2 lub nowszej, jeśli jest dostępna. W przypadku braku możliwości natychmiastowej aktualizacji, zaleca się ograniczenie dostępu do pliku loader.php oraz monitorowanie logów pod kątem nieautoryzowanych prób dostępu do bazy. Należy również rozważyć zmianę haseł do bazy danych i weryfikację konfiguracji sieciowej, aby ograniczyć zasięg potencjalnego ataku.