CRITICAL🇬🇧 English

CVE-2025-51536

Hardcoded hasło administratora w OpenAtlas v8.11.0

CVSS 9.8v3.1pub. 2025-08-04upd. 2025-09-23

OpenAtlas v8.11.0, rozwijany przez Austrian Archaeological Institute, zawiera zakodowane na stałe w kodzie źródłowym hasło administratora. Umożliwia to zdalnemu, nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad aplikacją bez znajomości żadnych poświadczeń.

Pokaż oryginał (EN)

Austrian Archaeological Institute (AI) OpenAtlas v8.11.0 as discovered to contain a hardcoded Administrator password.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że w aplikacji OpenAtlas zakodowano na stałe (hardcoded) hasło do konta administratora, co jest klasycznym przykładem CWE-798 (Use of Hard-coded Credentials) oraz CWE-1392 (Use of Default Credentials). Atakujący, który pozna lub odgadnie to hasło (np. poprzez analizę kodu źródłowego lub dokumentacji), może zalogować się na konto administratora bez żadnych dodatkowych barier uwierzytelnienia. Wektor ataku jest sieciowy, nie wymaga uprzedniego uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący uzyskuje pełen dostęp do konta administratora aplikacji, co skutkuje naruszeniem poufności, integralności oraz dostępności danych — w tym możliwością kradzieży, modyfikacji lub usunięcia danych archeologicznych przechowywanych w systemie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako natychmiastowe działanie zaradcze należy zmienić hasło konta administratora na unikalne i silne hasło oraz ograniczyć dostęp do panelu administracyjnego wyłącznie do zaufanych adresów IP.

Kogo dotyczy

OpenAtlas v8.11.0 (Austrian Archaeological Institute)

Uwagi

Podatność została opublikowana przez sec4you-pentest.com. Szczegóły techniczne oraz proof-of-concept dostępne są pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Craws Openatlas

    APP
    Craws
    < 8.12.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-51535CRITICAL9.1PL ✓ten sam produkt

SQL Injection w OpenAtlas v8.11.0 (Austrian Archaeological Institute)

CVE-2025-60915HIGH8.1ten sam produkt

An issue in the size query parameter (/views/file.py) of Austrian Archaeological Institute Openatlas before v8...

CVE-2025-51534HIGH8.1ten sam produkt

A cross-site scripting (XSS) vulnerability in Austrian Archaeological Institute (AI) OpenAtlas v8.11.0 allows ...

CVE-2025-60914MEDIUM4.6ten sam produkt

Incorrect access control in Austrian Archaeological Institute Openatlas before v8.12.0 allows attackers to acc...

CVE-2025-56423MEDIUM5.3ten sam produkt

An issue in Austrian Academy of Sciences (AW) Austrian Archaeological Institute OpenAtlas v.8.12.0 allows a re...