CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-69971

Critical
Published: Translated: NVD NIST

Summary

FUXA w wersji 1.2.7 zawiera podatność na twardo zakodowane poświadczenia w pliku server/api/jwt-helper.js. Aplikacja używa twardo zakodowanego klucza tajnego do podpisywania i weryfikacji tokenów JWT, co pozwala zdalnym atakującym na fałszowanie ważnych tokenów administratora i ominięcie uwierzytelnienia.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie pełnego dostępu administracyjnego do aplikacji. Może to prowadzić do nieautoryzowanych zmian w systemie oraz wycieku danych.

Recommendation

Zaleca się usunięcie twardo zakodowanego klucza tajnego i wdrożenie bezpiecznego mechanizmu zarządzania kluczami. Należy również zaktualizować aplikację do najnowszej wersji, aby zminimalizować ryzyko.

Original NVD description (English source)

FUXA v1.2.7 contains a hard-coded credential vulnerability in server/api/jwt-helper.js. The application uses a hard-coded secret key to sign and verify JWT Tokens. This allows remote attackers to forge valid admin tokens and bypass authentication to gain full administrative access.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS