CVE-2026-22906
KrytyczneStreszczenie
Dane uwierzytelniające użytkowników są przechowywane z użyciem szyfrowania AES‑ECB z twardo zakodowanym kluczem. Nieautoryzowany zdalny atakujący, który uzyska plik konfiguracyjny, może odszyfrować i odzyskać hasła oraz nazwy użytkowników, zwłaszcza w połączeniu z obejściem uwierzytelniania.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości ujawnienia danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. Atakujący mogą wykorzystać te informacje do przeprowadzenia dalszych ataków.
Rekomendacja
Zaleca się natychmiastową zmianę metody szyfrowania danych uwierzytelniających oraz usunięcie twardo zakodowanego klucza. Należy również zabezpieczyć pliki konfiguracyjne przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
User credentials are stored using AES‑ECB encryption with a hardcoded key. An unauthenticated remote attacker obtaining the configuration file can decrypt and recover plaintext usernames and passwords, especially when combined with the authentication bypass.

