Elizsoftware Panel przechowuje hasła użytkowników w postaci niezaszyfrowanej (plaintext), co umożliwia atakującemu uzyskanie dostępu do poświadczeń. Podatność otrzymała ocenę krytyczną CVSS 9.8, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Plaintext Storage of a Password vulnerability in Eliz Software Panel allows : Use of Known Domain Credentials. This issue affects Panel: before v2.3.24.
Aplikacja zapisuje hasła w sposób jawny (plaintext) zamiast stosować bezpieczne mechanizmy haszowania lub szyfrowania. Atakujący, który uzyska dostęp do bazy danych, plików konfiguracyjnych lub innego nośnika, gdzie przechowywane są dane uwierzytelniające, może odczytać hasła bezpośrednio bez konieczności ich łamania. Odzyskane hasła mogą następnie zostać wykorzystane do uwierzytelnienia w systemie jako znany użytkownik (Use of Known Domain Credentials).
Atakujący może uzyskać pełen dostęp do kont użytkowników systemu, a w konsekwencji przejąć kontrolę nad panelem zarządzania, co prowadzi do naruszenia poufności, integralności i dostępności danych.
Należy zaktualizować Elizsoftware Panel do wersji v2.3.24 lub nowszej. Dodatkowo zaleca się natychmiastową zmianę wszystkich haseł przechowywanych w systemie oraz weryfikację, czy hasła nie zostały wcześniej ujawnione. Szczegóły dostępne w referencjach producenta oraz komunikacie USOM (TR-24-1497).
Elizsoftware Panel w wersjach wcześniejszych niż v2.3.24.
Podatność zgłoszona przez turecką instytucję USOM (Ulusal Siber Olaylara Müdahale Merkezi) jako biuletyn TR-24-1497.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HElizsoftware Panel
APPElizsoftware< 2.3.24
Powiązane podatności
SQL Injection umożliwiający wykonanie poleceń w Eliz Software Panel
Stored XSS w Eliz Software Panel — wstrzyknięcie skryptu po stronie serwera
Reflected XSS w Eliz Software Panel przed wersją v2.3.24