CRITICAL🇬🇧 English

CVE-2025-54303

Domyślne słabe poświadczenia w Thermo Fisher Torrent Suite Software

CVSS 9.8v3.1pub. 2025-12-04upd. 2025-12-16

Aplikacja Django wchodząca w skład Thermo Fisher Torrent Suite Software 5.18.1 używa domyślnych poświadczeń (login: ionadmin, hasło: ionadmin), które nie są wymuszone do zmiany po instalacji. Atakujący sieciowy bez żadnych uprawnień może zalogować się z pełnymi uprawnieniami administracyjnymi do wielu wdrożeń, które zachowały ustawienia domyślne.

Pokaż oryginał (EN)

The Thermo Fisher Torrent Suite Django application 5.18.1 has weak default credentials, which are stored as fixtures for the Django ORM API. The ionadmin user account can be used to authenticate to default deployments with the password ionadmin. The user guide recommends changing default credentials; however, a password change policy for default administrative accounts is not enforced. Many deployments may retain default credentials, in which case an attacker is likely to be able to successfully authenticate with administrative privileges.

🤖 Analiza AI
Jak działa

Domyślne poświadczenia konta ionadmin są przechowywane jako fixtures dla Django ORM API i dostarczane wraz z oprogramowaniem. Dokumentacja użytkownika zaleca zmianę tych poświadczeń po instalacji, jednak oprogramowanie nie wymusza tej zmiany w ramach żadnej polityki zarządzania hasłami. W rezultacie wiele wdrożeń produkcyjnych może nadal korzystać z domyślnej pary login/hasło, co umożliwia atakującemu dostępnemu z sieci natychmiastowe uwierzytelnienie bez konieczności łamania haseł.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do aplikacji, co pozwala na odczyt, modyfikację lub usunięcie danych, a także potencjalne przejęcie kontroli nad systemem analizy danych sekwencjonowania DNA.

Mitygacja

Należy niezwłocznie zmienić domyślne hasło konta ionadmin we wszystkich wdrożeniach Torrent Suite Software. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania wyłącznie do zaufanych adresów IP oraz wdrożenie polityki wymuszającej zmianę haseł domyślnych przy pierwszym logowaniu.

Kogo dotyczy

Thermo Fisher Torrent Suite Software w wersji 5.18.1 (aplikacja Django) — dotyczy wdrożeń, które nie zmieniły domyślnych poświadczeń konta ionadmin

Uwagi

Podatność sklasyfikowana jako CWE-1392 (użycie domyślnych poświadczeń). Dokumentacja producenta (instrukcja użytkownika) zawiera zalecenie zmiany domyślnych poświadczeń, jednak brak mechanizmu wymuszającego tę zmianę sprawia, że ryzyko w środowiskach produkcyjnych pozostaje wysokie. Produkt służy do analizy danych sekwencjonowania nowej generacji (NGS), co czyni go wrażliwym celem w środowiskach badawczych i medycznych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Thermofisher Torrent Suite Software

    APP
    Thermofisher
    5.18.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54305HIGH7.8ten sam produkt

An issue was discovered in the Thermo Fisher Torrent Suite Django application 5.18.1. One of the middlewares i...

CVE-2025-54306HIGH7.2ten sam produkt

An issue was discovered in the Thermo Fisher Torrent Suite Django application 5.18.1. A remote code execution ...

CVE-2025-54307HIGH8.8ten sam produkt

An issue was discovered in the Thermo Fisher Torrent Suite Django application 5.18.1. The /configure/plugins/p...

CVE-2025-53963CRITICAL9.8PL ✓ten sam vendor

Słabe domyślne hasło root w urządzeniu Thermo Fisher Ion Torrent OneTouch 2

CVE-2025-54304CRITICAL9.8PL ✓ten sam vendor

Niezabezpieczony serwer X11 w Thermo Fisher Ion Torrent OneTouch 2 umożliwia RCE z uprawnieniami root