CRITICAL🇬🇧 English

CVE-2025-55306

GenX FX: Ujawnienie kluczy API i tokenów uwierzytelniających przez błędną konfigurację zmiennych środowiskowych

CVSS 9.8v3.1pub. 2025-08-19upd. 2026-04-15

W platformie transakcyjnej GenX FX zidentyfikowano podatność polegającą na potencjalnym ujawnieniu kluczy API i tokenów uwierzytelniających wskutek błędnej konfiguracji zmiennych środowiskowych. Nieuprawnieni użytkownicy mogą uzyskać dostęp do zasobów w chmurze, takich jak Google Cloud, Firebase czy GitHub.

Pokaż oryginał (EN)

GenX_FX is an advance IA trading platform that will focus on forex trading. A vulnerability was identified in the GenX FX backend where API keys and authentication tokens may be exposed if environment variables are misconfigured. Unauthorized users could gain access to cloud resources (Google Cloud, Firebase, GitHub, etc.).

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-522 (Insufficiently Protected Credentials) wynika z nieprawidłowej konfiguracji zmiennych środowiskowych w warstwie backendowej aplikacji GenX FX. Wskutek tej nieprawidłowości wrażliwe dane uwierzytelniające — w tym klucze API oraz tokeny dostępowe — mogą zostać ujawnione nieautoryzowanym podmiotom. Atakujący niewymagający żadnego uwierzytelnienia ani interakcji użytkownika może zdalnie pozyskać te dane poprzez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do zasobów powiązanych kont w usługach chmurowych (Google Cloud, Firebase, GitHub), co może prowadzić do pełnej kompromitacji danych, modyfikacji infrastruktury lub eskalacji uprawnień w środowiskach chmurowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się natychmiastowy przegląd i poprawę konfiguracji zmiennych środowiskowych, rotację wszystkich potencjalnie ujawnionych kluczy API i tokenów uwierzytelniających oraz weryfikację logów dostępu do powiązanych usług chmurowych.

Kogo dotyczy

Backend platformy GenX FX — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-55306 — GenX FX: Ujawnienie kluczy API i tokenów uwierzytelniających przez błędną konfigurację zmiennych środowiskowych — CRITICAL 9.8 | CVEbaza.pl