Katalog CVE

CVE-2024-40457

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Klient aktualizacji dynamicznej No-IP (DUC) w wersji 3.x używa haseł w postaci niezaszyfrowanej, które mogą być widoczne w wierszu poleceń lub w pliku. Producent twierdzi, że przechowywanie haseł w postaci niezaszyfrowanej w pliku /etc/default/noip-duc jest zamierzonym działaniem.

Ocena ryzyka

Użycie haseł w postaci niezaszyfrowanej stwarza ryzyko ich ujawnienia, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników. Organizacje powinny być świadome potencjalnych zagrożeń związanych z bezpieczeństwem danych.

Rekomendacja

Zaleca się unikanie przechowywania haseł w postaci niezaszyfrowanej oraz rozważenie użycia bezpieczniejszych metod autoryzacji, takich jak szyfrowanie haseł lub użycie tokenów dostępu.

Oryginalny opis (angielski, źródło NVD)

No-IP Dynamic Update Client (DUC) v3.x uses cleartext credentials that may occur on a command line or in a file. NOTE: the vendor's position is that cleartext in /etc/default/noip-duc is recommended and is the intentional behavior.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS