Netwrix Directory Manager (dawniej Imanami GroupID) w wersji do 10.0.7784.0 zawiera zakodowane na stałe hasło (hard-coded password), co stanowi krytyczną podatność klasy CWE-798. Błąd umożliwia nieautoryzowanemu atakującemu uzyskanie dostępu do systemu bez żadnych uprawnień i interakcji użytkownika.
▸ Pokaż oryginał (EN)
Netwrix Directory Manager (formerly Imanami GroupID) through v.10.0.7784.0 has a hard-coded password.
W oprogramowaniu Netwrix Directory Manager wbudowano stałe, niezmienne hasło bezpośrednio w kod aplikacji. Atakujący, który pozna lub odtworzy to hasło (np. przez analizę binarną lub ujawnienie publiczne), może użyć go do uwierzytelnienia się w systemie. Ponieważ hasło jest identyczne we wszystkich instalacjach i nie może być zmienione przez administratora, każda instancja produktu jest podatna w ten sam sposób. Wektor ataku jest sieciowy, bez wymogu posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika.
Atakujący może uzyskać pełny, nieautoryzowany dostęp do systemu zarządzania katalogiem, co może prowadzić do ujawnienia poufnych danych, modyfikacji konfiguracji oraz całkowitego przejęcia kontroli nad środowiskiem zarządzania tożsamościami i grupami w organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje dostępne są w oficjalnym komunikacie Netwrix pod adresem: https://community.netwrix.com/t/adv-2025-013-hard-coded-password-in-netwrix-directory-manager-formerly-imanami-groupid-v10-and-earlier/13945
Netwrix Directory Manager (dawniej Imanami GroupID) w wersji do 10.0.7784.0 włącznie
Produkt wcześniej funkcjonował pod nazwą Imanami GroupID. Podatność dotyczy wersji 10 i wcześniejszych (do v.10.0.7784.0). CVSS wynosi 10.0 (maksymalny), co odzwierciedla brak jakichkolwiek wymagań wstępnych do przeprowadzenia ataku oraz zasięg wykraczający poza komponent podatny (Scope: Changed).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HNetwrix Directory Manager
APPNetwrix≤ 10.0.7784.0
Powiązane podatności
Netwrix Directory Manager — ujawnienie wrażliwych danych w wysyłanych żądaniach
Netwrix Directory Manager (formerly Imanami GroupID) 11.0.0.0 before 11.1.25162.02 inserts Sensitive Informati...
Netwrix Directory Manager (formerly Imanami GroupID) 11.0.0.0 before 11.1.25162.02 has Insufficiently Protecte...
Netwrix Directory Manager (formerly Imanami GroupID) 11.0.0.0 before 11.1.25162.02 allows XSS for authenticati...
Netwrix Directory Manager (formerly Imanami GroupID) 11.0.0.0 before 11.1.25162.02 allows SQL Injection. Authe...