QaTraq 6.9.2 jest dostarczany z fabrycznie skonfigurowanymi danymi uwierzytelniającymi konta administracyjnego, które są aktywne w domyślnej instalacji. Atakujący z dostępem do strony logowania może natychmiast uzyskać pełne uprawnienia administracyjne bez żadnej dodatkowej wiedzy.
▸ Pokaż oryginał (EN)
QaTraq 6.9.2 ships with administrative account credentials which are enabled in default installations and permit immediate login via the web application login page. Because the account provides administrative privileges in the default configuration, an attacker who can reach the login page can gain administrative access.
Aplikacja QaTraq w wersji 6.9.2 posiada wbudowane, domyślnie włączone poświadczenia konta administracyjnego (CWE-521: Weak Password Requirements). Konto to jest aktywne bezpośrednio po instalacji i dostępne przez standardową stronę logowania aplikacji webowej. Atakujący, który może dotrzeć do tej strony — np. przez sieć Internet lub sieć wewnętrzną — może zalogować się przy użyciu znanych, domyślnych danych i od razu przejąć kontrolę nad aplikacją z uprawnieniami administratora.
Atakujący uzyskuje pełny dostęp administracyjny do aplikacji QaTraq, co umożliwia mu odczyt, modyfikację i usuwanie danych testowych oraz zarządzanie konfiguracją systemu. Według powiązanych referencji podatność może być łączona z innymi lukami (np. przesyłaniem plików prowadzącym do RCE), co może skutkować pełnym przejęciem serwera.
Należy niezwłocznie zmienić lub wyłączyć domyślne konto administracyjne po instalacji. Zaleca się sprawdzenie dostępności aktualizacji u producenta (http://qatraq.com) oraz zapoznanie się z referencjami dotyczącymi łatanej wersji. Do czasu zastosowania poprawki należy ograniczyć dostęp do strony logowania aplikacji wyłącznie do zaufanych adresów IP za pomocą firewall lub mechanizmów kontroli dostępu na poziomie sieci.
QaTraq w wersji 6.9.2 w domyślnej konfiguracji instalacyjnej
Według referencji (bitsbyamg.com, data 2025-10-19) podatność na domyślne poświadczenia może być łączona z podatnością na przesyłanie plików prowadzącą do RCE w tej samej wersji aplikacji, co znacząco zwiększa realny poziom ryzyka.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTestmanagement Qatraq
APPTestmanagement6.9.2