CRITICAL🇬🇧 English

CVE-2025-6077

Partner Software: domyślne dane uwierzytelniające administratora we wszystkich wersjach

CVSS 9.8v3.1pub. 2025-08-02upd. 2026-04-15

Produkty Partner Software (Partner Software Product oraz aplikacja webowa Partner Web) stosują te same domyślne dane logowania (nazwa użytkownika i hasło) dla konta administratora we wszystkich wersjach. Jest to podatność krytyczna, ponieważ atakujący bez żadnych uprawnień może przejąć pełną kontrolę nad systemem przez sieć.

Pokaż oryginał (EN)

Partner Software's Partner Software Product and corresponding Partner Web application use the same default username and password for the administrator account across all versions.

🤖 Analiza AI
Jak działa

Producent skonfigurował identyczne, niezmienione domyślne dane uwierzytelniające konta administratora we wszystkich wersjach oprogramowania. Atakujący zdalny, bez konieczności wcześniejszego uwierzytelnienia, może użyć publicznie znanych lub łatwych do odgadnięcia danych logowania, aby uzyskać dostęp do konta administratora. Podatność klasyfikowana jest jako CWE-1391 (Use of Weak Credentials), co wskazuje na systemowy błąd w polityce zarządzania domyślnymi danymi dostępowymi.

Skutki

Atakujący może uzyskać pełny dostęp administracyjny do systemu bez żadnej autoryzacji, co umożliwia mu odczyt, modyfikację lub zniszczenie danych, a także całkowite przejęcie kontroli nad aplikacją i jej środowiskiem.

Mitygacja

Należy niezwłocznie zmienić domyślne hasło konta administratora na unikalne, silne hasło po każdej instalacji lub aktualizacji systemu. Zaleca się zastosowanie dostępnych patchy i aktualizacji zgodnie z informacjami producenta opublikowanymi pod adresem https://partnersoftware.com/resources/software-release-info-4-32/ oraz zaleceniami CERT/CC (https://kb.cert.org/vuls/id/317469). Dodatkowo należy ograniczyć dostęp do panelu administracyjnego wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Partner Software Product oraz Partner Web application — wszystkie wersje oprogramowania według opisu producenta (szczegóły w referencjach producenta: https://partnersoftware.com/resources/software-release-info-4-32/)

Uwagi

Podatność zgłoszona przez CERT/CC (VU#317469). Producent opublikował informacje o wydaniu oprogramowania pod adresem https://partnersoftware.com/resources/software-release-info-4-32/.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje