CVE-2025-69971
KrytyczneStreszczenie
FUXA w wersji 1.2.7 zawiera podatność na twardo zakodowane poświadczenia w pliku server/api/jwt-helper.js. Aplikacja używa twardo zakodowanego klucza tajnego do podpisywania i weryfikacji tokenów JWT, co pozwala zdalnym atakującym na fałszowanie ważnych tokenów administratora i ominięcie uwierzytelnienia.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie pełnego dostępu administracyjnego do aplikacji. Może to prowadzić do nieautoryzowanych zmian w systemie oraz wycieku danych.
Rekomendacja
Zaleca się usunięcie twardo zakodowanego klucza tajnego i wdrożenie bezpiecznego mechanizmu zarządzania kluczami. Należy również zaktualizować aplikację do najnowszej wersji, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
FUXA v1.2.7 contains a hard-coded credential vulnerability in server/api/jwt-helper.js. The application uses a hard-coded secret key to sign and verify JWT Tokens. This allows remote attackers to forge valid admin tokens and bypass authentication to gain full administrative access.

