Krytyczna luka w Open ISES Tickets przed wersją 3.44.2 ujawnia dane logowania do bazy MySQL

Krytyczna luka w Open ISES Tickets przed 3.44.2 ujawnia dane logowania do MySQL. Zalecana szybka aktualizacja i przegląd bezpieczeństwa.
CVE-2026-48242CVSS 9.2Web

Krytyczna luka w Open ISES Tickets przed wersją 3.44.2 ujawnia dane logowania do bazy MySQL

Krytyczna luka w Open ISES Tickets przed 3.44.2 ujawnia dane logowania do MySQL. Zalecana szybka aktualizacja i przegląd bezpieczeństwa.

CVSS
9.2 CRITICAL
EPSS
21.4%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W Open ISES Tickets w wersjach wcześniejszych niż 3.44.2 w pliku import_mdb.php znajdują się na stałe wpisane dane połączenia do bazy MySQL, takie jak host, nazwa użytkownika, hasło i nazwa bazy. Te dane są publicznie dostępne w repozytorium źródłowym, co umożliwia osobom trzecim uzyskanie dostępu do konfiguracji potencjalnie używanych w środowiskach produkcyjnych.

Wpływ biznesowy

Ujawnienie danych uwierzytelniających do bazy danych może prowadzić do nieautoryzowanego dostępu do danych, ich modyfikacji lub usunięcia, co stanowi poważne zagrożenie dla integralności i poufności informacji. Organizacje korzystające z podatnych wersji Open ISES Tickets powinny traktować tę lukę jako krytyczną i priorytetowo podjąć działania naprawcze, aby zapobiec potencjalnym incydentom bezpieczeństwa.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zaktualizować Open ISES Tickets do wersji 3.44.2 lub nowszej, w której problem został usunięty. W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu do repozytorium źródłowego oraz przegląd i zmiana haseł do bazy danych. Dodatkowo warto monitorować logi systemowe pod kątem podejrzanych aktywności i weryfikować konfigurację środowiska pod kątem wycieków danych.

Źródła