Katalog CVE

CVE-2026-48242

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Open ISES Tickets przed wersją 3.44.2 zawiera zakodowane na stałe dane uwierzytelniające do bazy danych MySQL w pliku import_mdb.php. Te dane są osadzone w kodzie źródłowym, który został opublikowany w publicznym repozytorium, co umożliwia każdemu odczytanie wartości konfiguracyjnych, które mogą odpowiadać zainstalowanym wersjom.

Ocena ryzyka

Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do bazy danych, co może prowadzić do wycieku danych lub kompromitacji systemu. Ujawnienie danych uwierzytelniających może umożliwić atakującym przejęcie kontroli nad zainstalowanymi aplikacjami.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Open ISES Tickets, aby usunąć zakodowane dane uwierzytelniające. Dodatkowo, należy zmienić wszystkie dane uwierzytelniające do bazy danych, które mogły zostać ujawnione.

Oryginalny opis (angielski, źródło NVD)

Open ISES Tickets before 3.44.2 contains hardcoded MySQL database connection credentials (host, username, password, database name) in import_mdb.php. The credentials are embedded in source code committed to the public repository, allowing any reader of the source to obtain valid configuration values that may match deployed installations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS