CVE-2026-48242: Жорстко закодовані облікові дані MySQL у Open ISES Tickets до версії 3.44.2

Критична вразливість CVE-2026-48242 у Open ISES Tickets до 3.44.2: жорстко закодовані облікові дані MySQL у публічному коді можуть призвести до компрометації бази даних.
CVE-2026-48242CVSS 9.2Web

CVE-2026-48242: Жорстко закодовані облікові дані MySQL у Open ISES Tickets до версії 3.44.2

Критична вразливість CVE-2026-48242 у Open ISES Tickets до 3.44.2: жорстко закодовані облікові дані MySQL у публічному коді можуть призвести до компрометації бази даних.

CVSS
9.2 CRITICAL
EPSS
21.4%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Open ISES Tickets версій до 3.44.2 у файлі import_mdb.php виявлено жорстко закодовані облікові дані для підключення до бази даних MySQL. Ці дані, включаючи хост, ім'я користувача, пароль і назву бази, доступні у відкритому репозиторії, що дозволяє будь-якому читачу отримати дійсні конфігураційні значення.

Бізнес-вплив

Наявність жорстко закодованих облікових даних у публічному коді створює серйозний ризик несанкціонованого доступу до бази даних. Зловмисники можуть використати ці дані для компрометації системи, викрадення або зміни даних, що може призвести до порушення цілісності та конфіденційності інформації. Власники інфраструктури повинні розглядати цю вразливість як критичну.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Open ISES Tickets до версії 3.44.2 або новішої, де ця проблема виправлена. Якщо оновлення неможливе, слід перевірити та змінити облікові дані бази даних, обмежити доступ до репозиторію та системи, а також провести аудит логів на предмет підозрілої активності. Важливо також переглянути політики безпеки для запобігання подібним витокам у майбутньому.

Джерела