Katalog CVE

CVE-2025-69971

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

FUXA w wersji 1.2.7 zawiera podatność na twardo zakodowane poświadczenia w pliku server/api/jwt-helper.js. Aplikacja używa twardo zakodowanego klucza tajnego do podpisywania i weryfikacji tokenów JWT, co pozwala zdalnym atakującym na fałszowanie ważnych tokenów administratora i ominięcie uwierzytelnienia.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie pełnego dostępu administracyjnego do aplikacji. Może to prowadzić do nieautoryzowanych zmian w systemie oraz wycieku danych.

Rekomendacja

Zaleca się usunięcie twardo zakodowanego klucza tajnego i wdrożenie bezpiecznego mechanizmu zarządzania kluczami. Należy również zaktualizować aplikację do najnowszej wersji, aby zminimalizować ryzyko.

Oryginalny opis (angielski, źródło NVD)

FUXA v1.2.7 contains a hard-coded credential vulnerability in server/api/jwt-helper.js. The application uses a hard-coded secret key to sign and verify JWT Tokens. This allows remote attackers to forge valid admin tokens and bypass authentication to gain full administrative access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS