CVE-2024-40457
KrytyczneStreszczenie
Klient aktualizacji dynamicznej No-IP (DUC) w wersji 3.x używa haseł w postaci niezaszyfrowanej, które mogą być widoczne w wierszu poleceń lub w pliku. Producent twierdzi, że przechowywanie haseł w postaci niezaszyfrowanej w pliku /etc/default/noip-duc jest zamierzonym działaniem.
Ocena ryzyka
Użycie haseł w postaci niezaszyfrowanej stwarza ryzyko ich ujawnienia, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników. Organizacje powinny być świadome potencjalnych zagrożeń związanych z bezpieczeństwem danych.
Rekomendacja
Zaleca się unikanie przechowywania haseł w postaci niezaszyfrowanej oraz rozważenie użycia bezpieczniejszych metod autoryzacji, takich jak szyfrowanie haseł lub użycie tokenów dostępu.
Oryginalny opis (angielski, źródło NVD)
No-IP Dynamic Update Client (DUC) v3.x uses cleartext credentials that may occur on a command line or in a file. NOTE: the vendor's position is that cleartext in /etc/default/noip-duc is recommended and is the intentional behavior.

