CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-40457

Critical
Published: Translated: NVD NIST

Summary

Klient aktualizacji dynamicznej No-IP (DUC) w wersji 3.x używa haseł w postaci niezaszyfrowanej, które mogą być widoczne w wierszu poleceń lub w pliku. Producent twierdzi, że przechowywanie haseł w postaci niezaszyfrowanej w pliku /etc/default/noip-duc jest zamierzonym działaniem.

Risk Assessment

Użycie haseł w postaci niezaszyfrowanej stwarza ryzyko ich ujawnienia, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników. Organizacje powinny być świadome potencjalnych zagrożeń związanych z bezpieczeństwem danych.

Recommendation

Zaleca się unikanie przechowywania haseł w postaci niezaszyfrowanej oraz rozważenie użycia bezpieczniejszych metod autoryzacji, takich jak szyfrowanie haseł lub użycie tokenów dostępu.

Original NVD description (English source)

No-IP Dynamic Update Client (DUC) v3.x uses cleartext credentials that may occur on a command line or in a file. NOTE: the vendor's position is that cleartext in /etc/default/noip-duc is recommended and is the intentional behavior.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS