Krytyczna luka w Open ISES Tickets przed wersją 3.44.2 ujawnia dane logowania do bazy MySQL
Krytyczna luka w Open ISES Tickets przed 3.44.2 ujawnia dane logowania do MySQL. Zalecana szybka aktualizacja i przegląd bezpieczeństwa.
- CVSS
- 9.2 CRITICAL
- EPSS
- 21.4%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Open ISES Tickets w wersjach wcześniejszych niż 3.44.2 w pliku import_mdb.php znajdują się na stałe wpisane dane połączenia do bazy MySQL, takie jak host, nazwa użytkownika, hasło i nazwa bazy. Te dane są publicznie dostępne w repozytorium źródłowym, co umożliwia osobom trzecim uzyskanie dostępu do konfiguracji potencjalnie używanych w środowiskach produkcyjnych.
Wpływ biznesowy
Ujawnienie danych uwierzytelniających do bazy danych może prowadzić do nieautoryzowanego dostępu do danych, ich modyfikacji lub usunięcia, co stanowi poważne zagrożenie dla integralności i poufności informacji. Organizacje korzystające z podatnych wersji Open ISES Tickets powinny traktować tę lukę jako krytyczną i priorytetowo podjąć działania naprawcze, aby zapobiec potencjalnym incydentom bezpieczeństwa.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zaktualizować Open ISES Tickets do wersji 3.44.2 lub nowszej, w której problem został usunięty. W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu do repozytorium źródłowego oraz przegląd i zmiana haseł do bazy danych. Dodatkowo warto monitorować logi systemowe pod kątem podejrzanych aktywności i weryfikować konfigurację środowiska pod kątem wycieków danych.