Критична вразливість у Vvveb дозволяє неавторизованим користувачам отримати доступ до бази даних
Вразливість у Vvveb дозволяє неавторизованим користувачам отримати повний доступ до бази даних через phpMyAdmin. Оновіть програмне забезпечення та перевірте конфігурації.
- CVSS
- 9.2 CRITICAL
- EPSS
- 26.7%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Vvveb до версії 1.0.8.2 виявлено вразливість через жорстко закодовані облікові дані у конфігурації docker-compose-apache.yaml. Зловмисники можуть підключитися до контейнера phpMyAdmin і отримати повний доступ для читання та запису до бази даних, включно з хешами паролів адміністраторів та персональними даними клієнтів.
Бізнес-вплив
Ця вразливість дозволяє зловмисникам захопити облікові записи адміністраторів і маніпулювати даними, що створює серйозні ризики для безпеки та конфіденційності. Власники інфраструктури можуть зазнати витоку персональних даних клієнтів і порушення цілісності бізнес-інформації, що може призвести до фінансових втрат і шкоди репутації.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Vvveb до версії 1.0.8.2 або новішої, перевірити конфігурації docker-compose на наявність жорстко закодованих облікових даних, обмежити доступ до phpMyAdmin контейнера, провести аудит логів на ознаки несанкціонованого доступу та посилити моніторинг безпеки.