CRITICAL🇬🇧 English

CVE-2023-51638

Allegra: pominięcie uwierzytelnienia przez zakodowane hasło w bazie danych

CVSS 9.8v3.1pub. 2024-11-22upd. 2025-01-03

W aplikacji Allegra (Alltena) odkryto krytyczną podatność polegającą na zastosowaniu zakodowanego na stałe hasła w konfiguracji bazy danych. Zdalni atakujący mogą bez żadnego uwierzytelnienia uzyskać pełny dostęp do systemu.

Pokaż oryginał (EN)

Allegra Hard-coded Credentials Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of Allegra. Authentication is not required to exploit this vulnerability. The specific flaw exists within the configuration of a database. The issue results from the use of a hardcoded password. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-22360.

🤖 Analiza AI
Jak działa

Podatność (CWE-798) wynika z użycia statycznego, zakodowanego hasła w konfiguracji bazy danych aplikacji Allegra. Ponieważ hasło jest stałe i niezmienne, atakujący może je poznać lub odtworzyć, a następnie wykorzystać do uwierzytelnienia się w systemie bez posiadania prawidłowych danych dostępowych. Exploit nie wymaga interakcji użytkownika ani żadnych uprawnień wstępnych, a atak może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący może całkowicie ominąć mechanizm uwierzytelnienia i uzyskać nieautoryzowany dostęp do systemu, co skutkuje pełną kompromitacją poufności, integralności oraz dostępności danych i aplikacji.

Mitygacja

Należy zaktualizować Allegra do wersji 7.5.1 lub nowszej zgodnie z informacjami o wydaniu dostępnymi pod adresem https://www.trackplus.com/en/service/release-notes-reader/7-5-1-release-notes-2.html.

Kogo dotyczy

Wybrane instalacje aplikacji Allegra firmy Alltena; szczegółowe wersje wskazane w referencjach producenta (podatność naprawiona w wersji 7.5.1 według informacji o wydaniu).

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative jako ZDI-CAN-22360, a szczegółowe advisory opublikowano jako ZDI-24-111.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Alltena Allegra

    APP
    Alltena
    < 7.5.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-6216CRITICAL9.8PL ✓ten sam produkt

Allegra: pominięcie uwierzytelnienia przez przewidywalny token odzyskiwania hasła

CVE-2023-51639CRITICAL9.8PL ✓ten sam produkt

Allegra: path traversal w downloadExportedChart umożliwia ominięcie uwierzytelnienia

CVE-2025-3485HIGH8.8ten sam produkt

Allegra extractFileFromZip Directory Traversal Remote Code Execution Vulnerability. This vulnerability allows ...

CVE-2025-3486HIGH8.8ten sam produkt

Allegra isZipEntryValide Directory Traversal Remote Code Execution Vulnerability. This vulnerability allows re...

CVE-2023-52333HIGH7.3ten sam produkt

Allegra saveFile Directory Traversal Remote Code Execution Vulnerability. This vulnerability allows remote att...