CRITICAL🇬🇧 English

CVE-2024-46612

IceCMS: zakodowany na stałe klucz JWT umożliwia fałszowanie tokenów

CVSS 9.8v3.1pub. 2024-09-25upd. 2025-04-28

IceCMS w wersji 3.4.7 i wcześniejszych zawiera zakodowany na stałe (hardcoded) klucz JWT, co umożliwia atakującemu sfałszowanie tokenów uwierzytelniających. Jest to podatność krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika, a całkowicie kompromituje mechanizm uwierzytelniania.

Pokaż oryginał (EN)

IceCMS v3.4.7 and before was discovered to contain a hardcoded JWT key, allowing an attacker to forge JWT authentication information.

🤖 Analiza AI
Jak działa

W aplikacji IceCMS klucz używany do podpisywania tokenów JWT (JSON Web Token) jest zakodowany bezpośrednio w kodzie źródłowym (CWE-321: Use of Hard-coded Cryptographic Key). Atakujący, który pozna ten klucz — np. poprzez analizę publicznie dostępnego kodu lub skompilowanej aplikacji — może samodzielnie generować i podpisywać dowolne tokeny JWT. Sfałszowane tokeny mogą przedstawiać atakującego jako dowolnego użytkownika, w tym administratora, bez znajomości jego hasła.

Skutki

Atakujący może uzyskać pełny, nieautoryzowany dostęp do aplikacji, podszywając się pod dowolnego użytkownika lub administratora systemu. W konsekwencji możliwe jest przejęcie kont, odczyt i modyfikacja danych oraz potencjalne przejęcie pełnej kontroli nad aplikacją.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się niezwłoczną zmianę klucza JWT na unikalny, losowo wygenerowany sekret o odpowiedniej długości oraz unieważnienie wszystkich aktywnych sesji i tokenów JWT wydanych przed aktualizacją.

Kogo dotyczy

Thecosy IceCMS w wersji 3.4.7 i wcześniejszych.

Uwagi

Szczegóły techniczne podatności zostały opublikowane przez badacza Lunax0 w repozytorium GitHub pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Thecosy Icecms

    APP
    Thecosy
    < 3.4.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-48202CRITICAL9.8PL ✓ten sam produkt

Nieograniczony upload plików w Thecosy IceCMS — RCE przez FileUtils.java

CVE-2023-40833CRITICAL9.8ten sam produkt

An issue in Thecosy IceCMS v.1.0.0 allows a remote attacker to gain privileges via the Id and key parameters i...

CVE-2025-22984HIGH7.5ten sam produkt

An access control issue in the component /api/squareComment/DelectSquareById of iceCMS v2.2.0 allows unauthent...

CVE-2025-22983HIGH7.5ten sam produkt

An access control issue in the component /square/getAllSquare/circle of iceCMS v2.2.0 allows unauthenticated a...

CVE-2024-46607HIGH7.6ten sam produkt

Incorrect access control in IceCMS v3.4.7 and before allows attackers to authenticate by entering any arbitrar...