CVE-2026-22906
CriticalSummary
Dane uwierzytelniające użytkowników są przechowywane z użyciem szyfrowania AES‑ECB z twardo zakodowanym kluczem. Nieautoryzowany zdalny atakujący, który uzyska plik konfiguracyjny, może odszyfrować i odzyskać hasła oraz nazwy użytkowników, zwłaszcza w połączeniu z obejściem uwierzytelniania.
Risk Assessment
Ryzyko dla organizacji polega na możliwości ujawnienia danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. Atakujący mogą wykorzystać te informacje do przeprowadzenia dalszych ataków.
Recommendation
Zaleca się natychmiastową zmianę metody szyfrowania danych uwierzytelniających oraz usunięcie twardo zakodowanego klucza. Należy również zabezpieczyć pliki konfiguracyjne przed nieautoryzowanym dostępem.
Original NVD description (English source)
User credentials are stored using AES‑ECB encryption with a hardcoded key. An unauthenticated remote attacker obtaining the configuration file can decrypt and recover plaintext usernames and passwords, especially when combined with the authentication bypass.

