Aplikacja mobilna ATA-AOF Ataturk University zawiera zakodowane na stałe poświadczenia (hard-coded credentials) oraz przesyła wrażliwe dane w postaci niezaszyfrowanej (cleartext). Połączenie tych dwóch wad umożliwia nieuwierzytelnionemu atakującemu zdalne ominięcie mechanizmów uwierzytelniania.
▸ Pokaż oryginał (EN)
Cleartext Transmission of Sensitive Information, Use of Hard-coded Credentials vulnerability in Ataturk University ATA-AOF Mobile Application allows Authentication Abuse, Authentication Bypass. This issue affects ATA-AOF Mobile Application: before 20.06.2025.
Podatność obejmuje dwa powiązane problemy: po pierwsze, aplikacja używa hard-coded credentials (CWE-798) wbudowanych w kod, które mogą zostać wyodrębnione i wykorzystane przez atakującego do uwierzytelnienia się jako uprawniony użytkownik. Po drugie, wrażliwe informacje — w tym potencjalnie dane uwierzytelniające — są przesyłane w postaci cleartext (CWE-319), co umożliwia ich przechwycenie w ruchu sieciowym. Atakujący może połączyć obie słabości, aby uzyskać dostęp do systemu bez znajomości prawidłowych danych logowania użytkownika.
Atakujący zdalny, bez żadnego uwierzytelnienia i interakcji użytkownika, może ominąć mechanizmy uwierzytelniania (Authentication Bypass) i uzyskać nieautoryzowany dostęp do zasobów aplikacji, a także przechwycić wrażliwe dane przesyłane w sieci.
Należy zaktualizować aplikację ATA-AOF do wersji wydanej 20.06.2025 lub późniejszej. Szczegółowe informacje o patchu dostępne są w referencjach producenta oraz w biuletynie USOM/TR-25-0135.
Aplikacja mobilna ATA-AOF (Ataturk University) we wszystkich wersjach przed 20.06.2025.
Podatność zgłoszona przez turecką jednostkę ds. cyberbezpieczeństwa USOM (biuletyn TR-25-0135). Maksymalny wynik CVSS 10.0 wynika z wektora sieciowego, braku wymaganych uprawnień i interakcji użytkownika oraz pełnego zakresu wpływu (Scope: Changed).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L