CRITICAL🇬🇧 English

CVE-2024-49806

IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)

CVSS 9.4v3.1pub. 2024-11-29upd. 2025-01-29

IBM Security Verify Access Appliance w wersjach 10.0.0–10.0.8 zawiera zakodowane na stałe poświadczenia (hasła lub klucze kryptograficzne). Podatność jest krytyczna, ponieważ pozwala atakującemu na nieautoryzowany dostęp bez konieczności posiadania jakichkolwiek uprawnień.

Pokaż oryginał (EN)

IBM Security Verify Access Appliance 10.0.0 through 10.0.8 contains hard-coded credentials, such as a password or cryptographic key, which it uses for its own inbound authentication, outbound communication to external components, or encryption of internal data.

🤖 Analiza AI
Jak działa

Podatność polega na obecności w oprogramowaniu statycznych, zakodowanych na stałe poświadczeń (CWE-798), które mogą być wykorzystywane do uwierzytelniania przychodzącego, komunikacji z zewnętrznymi komponentami lub szyfrowania wewnętrznych danych. Atakujący, który pozna te poświadczenia (np. poprzez analizę oprogramowania), może je wykorzystać do uzyskania dostępu do urządzenia lub komunikujących się z nim systemów. Ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika, a wektor ataku jest sieciowy, próg wejścia jest bardzo niski.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do systemu, przejąć kontrolę nad chronionymi danymi lub zakłócić działanie komponentów infrastruktury bezpieczeństwa, co prowadzi do naruszenia poufności i integralności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7177447

Kogo dotyczy

IBM Security Verify Access Appliance w wersjach 10.0.0 do 10.0.8 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
  • IBM Security Verify Access

    APP
    Ibm
    10.0.0 – 10.0.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-1346CRITICAL9.3PL ✓ten sam produkt

Privilege escalation do root w IBM Security Verify Access i Verify Identity Access

CVE-2025-36356CRITICAL9.3PL ✓ten sam produkt

IBM Security Verify Access — privilege escalation do root przez nadmiarowe uprawnienia

CVE-2024-49805CRITICAL9.4PL ✓ten sam produkt

IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)

CVE-2024-49803CRITICAL9.8PL ✓ten sam produkt

IBM Security Verify Access — zdalne wykonanie poleceń (command injection)

CVE-2021-39070CRITICAL9.8ten sam produkt

IBM Security Verify Access 10.0.0.0, 10.0.1.0 and 10.0.2.0 with the advanced access control authentication ser...