Krytyczna luka w Open ISES Tickets przed wersją 3.44.2 umożliwia ujawnienie danych dostępowych do bazy MySQL

Krytyczna luka w Open ISES Tickets przed 3.44.2 umożliwia dostęp do danych logowania MySQL. Zalecana szybka aktualizacja i ograniczenie dostępu.
CVE-2026-48241CVSS 9.2Web

Krytyczna luka w Open ISES Tickets przed wersją 3.44.2 umożliwia ujawnienie danych dostępowych do bazy MySQL

Krytyczna luka w Open ISES Tickets przed 3.44.2 umożliwia dostęp do danych logowania MySQL. Zalecana szybka aktualizacja i ograniczenie dostępu.

CVSS
9.2 CRITICAL
EPSS
22.24%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach Open ISES Tickets przed 3.44.2 w pliku loader.php znajdują się na stałe zapisane dane logowania do bazy MySQL, dostępne publicznie w repozytorium źródłowym. Osoby mające dostęp do kodu lub pliku na wdrożeniu mogą uzyskać dane użytkownika, hasło i nazwę bazy, co pozwala na połączenie z bazą, jeśli jest osiągalna z ich sieci.

Wpływ biznesowy

Ta luka stwarza poważne ryzyko nieautoryzowanego dostępu do bazy danych, co może prowadzić do wycieku, modyfikacji lub usunięcia danych. Atakujący mogą wykorzystać te informacje do eskalacji ataku na infrastrukturę IT, powodując poważne zakłócenia w działaniu usług i potencjalne straty finansowe oraz reputacyjne.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zweryfikować wersję Open ISES Tickets i zaktualizować oprogramowanie do wersji 3.44.2 lub nowszej, jeśli jest dostępna. W przypadku braku możliwości natychmiastowej aktualizacji, zaleca się ograniczenie dostępu do pliku loader.php oraz monitorowanie logów pod kątem nieautoryzowanych prób dostępu do bazy. Należy również rozważyć zmianę haseł do bazy danych i weryfikację konfiguracji sieciowej, aby ograniczyć zasięg potencjalnego ataku.

Źródła