CRITICAL🇬🇧 English

CVE-2024-5960

Przechowywanie haseł w postaci jawnej w Elizsoftware Panel

CVSS 9.8v3.1pub. 2024-09-18upd. 2026-06-03

Elizsoftware Panel przechowuje hasła użytkowników w postaci niezaszyfrowanej (plaintext), co umożliwia atakującemu uzyskanie dostępu do poświadczeń. Podatność otrzymała ocenę krytyczną CVSS 9.8, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Plaintext Storage of a Password vulnerability in Eliz Software Panel allows : Use of Known Domain Credentials. This issue affects Panel: before v2.3.24.

🤖 Analiza AI
Jak działa

Aplikacja zapisuje hasła w sposób jawny (plaintext) zamiast stosować bezpieczne mechanizmy haszowania lub szyfrowania. Atakujący, który uzyska dostęp do bazy danych, plików konfiguracyjnych lub innego nośnika, gdzie przechowywane są dane uwierzytelniające, może odczytać hasła bezpośrednio bez konieczności ich łamania. Odzyskane hasła mogą następnie zostać wykorzystane do uwierzytelnienia w systemie jako znany użytkownik (Use of Known Domain Credentials).

Skutki

Atakujący może uzyskać pełen dostęp do kont użytkowników systemu, a w konsekwencji przejąć kontrolę nad panelem zarządzania, co prowadzi do naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować Elizsoftware Panel do wersji v2.3.24 lub nowszej. Dodatkowo zaleca się natychmiastową zmianę wszystkich haseł przechowywanych w systemie oraz weryfikację, czy hasła nie zostały wcześniej ujawnione. Szczegóły dostępne w referencjach producenta oraz komunikacie USOM (TR-24-1497).

Kogo dotyczy

Elizsoftware Panel w wersjach wcześniejszych niż v2.3.24.

Uwagi

Podatność zgłoszona przez turecką instytucję USOM (Ulusal Siber Olaylara Müdahale Merkezi) jako biuletyn TR-24-1497.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Elizsoftware Panel

    APP
    Elizsoftware
    < 2.3.24
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-5958CRITICAL9.4PL ✓ten sam produkt

SQL Injection umożliwiający wykonanie poleceń w Eliz Software Panel

CVE-2024-5959CRITICAL9.3PL ✓ten sam produkt

Stored XSS w Eliz Software Panel — wstrzyknięcie skryptu po stronie serwera

CVE-2024-6877CRITICAL9.4PL ✓ten sam produkt

Reflected XSS w Eliz Software Panel przed wersją v2.3.24

CVE-2024-5960 — Przechowywanie haseł w postaci jawnej w Elizsoftware Panel — CRITICAL 9.8 | CVEbaza.pl