CVE-2026-48242
WysokieStreszczenie
Open ISES Tickets przed wersją 3.44.2 zawiera zakodowane na stałe dane uwierzytelniające do bazy danych MySQL w pliku import_mdb.php. Te dane są osadzone w kodzie źródłowym, który został opublikowany w publicznym repozytorium, co umożliwia każdemu odczytanie wartości konfiguracyjnych, które mogą odpowiadać zainstalowanym wersjom.
Ocena ryzyka
Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do bazy danych, co może prowadzić do wycieku danych lub kompromitacji systemu. Ujawnienie danych uwierzytelniających może umożliwić atakującym przejęcie kontroli nad zainstalowanymi aplikacjami.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Open ISES Tickets, aby usunąć zakodowane dane uwierzytelniające. Dodatkowo, należy zmienić wszystkie dane uwierzytelniające do bazy danych, które mogły zostać ujawnione.
Oryginalny opis (angielski, źródło NVD)
Open ISES Tickets before 3.44.2 contains hardcoded MySQL database connection credentials (host, username, password, database name) in import_mdb.php. The credentials are embedded in source code committed to the public repository, allowing any reader of the source to obtain valid configuration values that may match deployed installations.

