CRITICAL🇬🇧 English

CVE-2025-63747

QaTraq 6.9.2 — domyślne dane uwierzytelniające konta administratora

CVSS 9.8v3.1pub. 2025-11-17upd. 2026-07-05

QaTraq 6.9.2 jest dostarczany z fabrycznie skonfigurowanymi danymi uwierzytelniającymi konta administracyjnego, które są aktywne w domyślnej instalacji. Atakujący z dostępem do strony logowania może natychmiast uzyskać pełne uprawnienia administracyjne bez żadnej dodatkowej wiedzy.

Pokaż oryginał (EN)

QaTraq 6.9.2 ships with administrative account credentials which are enabled in default installations and permit immediate login via the web application login page. Because the account provides administrative privileges in the default configuration, an attacker who can reach the login page can gain administrative access.

🤖 Analiza AI
Jak działa

Aplikacja QaTraq w wersji 6.9.2 posiada wbudowane, domyślnie włączone poświadczenia konta administracyjnego (CWE-521: Weak Password Requirements). Konto to jest aktywne bezpośrednio po instalacji i dostępne przez standardową stronę logowania aplikacji webowej. Atakujący, który może dotrzeć do tej strony — np. przez sieć Internet lub sieć wewnętrzną — może zalogować się przy użyciu znanych, domyślnych danych i od razu przejąć kontrolę nad aplikacją z uprawnieniami administratora.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do aplikacji QaTraq, co umożliwia mu odczyt, modyfikację i usuwanie danych testowych oraz zarządzanie konfiguracją systemu. Według powiązanych referencji podatność może być łączona z innymi lukami (np. przesyłaniem plików prowadzącym do RCE), co może skutkować pełnym przejęciem serwera.

Mitygacja

Należy niezwłocznie zmienić lub wyłączyć domyślne konto administracyjne po instalacji. Zaleca się sprawdzenie dostępności aktualizacji u producenta (http://qatraq.com) oraz zapoznanie się z referencjami dotyczącymi łatanej wersji. Do czasu zastosowania poprawki należy ograniczyć dostęp do strony logowania aplikacji wyłącznie do zaufanych adresów IP za pomocą firewall lub mechanizmów kontroli dostępu na poziomie sieci.

Kogo dotyczy

QaTraq w wersji 6.9.2 w domyślnej konfiguracji instalacyjnej

Uwagi

Według referencji (bitsbyamg.com, data 2025-10-19) podatność na domyślne poświadczenia może być łączona z podatnością na przesyłanie plików prowadzącą do RCE w tej samej wersji aplikacji, co znacząco zwiększa realny poziom ryzyka.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Testmanagement Qatraq

    APP
    Testmanagement
    6.9.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-63748HIGH8.8ten sam produkt

QaTraq 6.9.2 allows authenticated users to upload arbitrary files via the "Add Attachment" feature in the "Tes...