CVE-2026-48241
WysokieStreszczenie
Open ISES Tickets przed wersją 3.44.2 zawiera zakodowane na stałe dane uwierzytelniające do bazy danych MySQL w pliku loader.php, który jest publicznie dostępny. Każdy, kto ma dostęp do publicznego repozytorium źródłowego lub nieautoryzowany atakujący z dostępem do pliku w zainstalowanej wersji, może odczytać nazwę użytkownika, hasło i nazwę bazy danych.
Ocena ryzyka
Ryzyko polega na tym, że nieautoryzowani użytkownicy mogą uzyskać dostęp do bazy danych, co może prowadzić do wycieku danych lub nieautoryzowanych modyfikacji.
Rekomendacja
Zaleca się aktualizację do wersji 3.44.2 lub nowszej, aby usunąć zakodowane dane uwierzytelniające oraz ograniczenie dostępu do pliku loader.php.
Oryginalny opis (angielski, źródło NVD)
Open ISES Tickets before 3.44.2 contains hardcoded MySQL database credentials in loader.php (a public-facing database utility) that are committed to the source repository. Any actor with access to the public source tree (or an unauthenticated attacker with read access to the file on a deployed installation) can read the username, password, and database name and use them to connect to the database if it is reachable from their network.

