ClipBucket 5.5.2 zawiera zakodowane na stałe domyślne dane uwierzytelniające administratora, które są dostarczane razem z aplikacją. Nieuwierzytelniony zdalny atakujący może zalogować się do panelu administracyjnego bez żadnej znajomości środowiska ofiary, uzyskując pełną kontrolę nad aplikacją.
▸ Pokaż oryginał (EN)
ClipBucket 5.5.2 is affected by an improper access control issue where the product is shipped or deployed with hardcoded default administrative credentials. An unauthenticated remote attacker can log in to the administrative panel using these default credentials, resulting in full administrative control of the application.
Aplikacja ClipBucket 5.5.2 jest wdrażana z domyślnymi, hardcoded danymi logowania do panelu administracyjnego (CWE-798 — użycie zakodowanych na stałe poświadczeń). Atakujący bez żadnego wcześniejszego uwierzytelnienia może użyć tych znanych, publicznych danych logowania, aby uzyskać dostęp do interfejsu administracyjnego. Nie jest wymagana żadna interakcja ze strony użytkownika ani znajomość specyfiki docelowego środowiska — wystarczy dostęp sieciowy do panelu zarządzania aplikacją.
Atakujący uzyskuje pełną kontrolę administracyjną nad aplikacją, co może prowadzić do przejęcia kont użytkowników, wycieku danych, modyfikacji treści oraz potencjalnego dalszego kompromitowania infrastruktury serwerowej.
Należy niezwłocznie zmienić domyślne dane logowania administratora po każdej instalacji lub aktualizacji aplikacji. Zaleca się zastosowanie patchy dostępnych u producenta zgodnie z referencjami. Do czasu aktualizacji należy ograniczyć dostęp do panelu administracyjnego wyłącznie do zaufanych adresów IP za pomocą firewall lub innych mechanizmów kontroli dostępu.
ClipBucket w wersji 5.5.2 (produkt firmy Oxygenz)
Podatność opisana w publikacji na platformie Medium przez badacza Arpit Sharma (@arpit03sharma2003). Wektor ataku jest trywialny — brak wymagań co do uprawnień, interakcji użytkownika ani skomplikowanych warunków ataku (CVSS AV:N/AC:L/PR:N/UI:N).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOxygenz Clipbucket
APPOxygenz5.3 – 5.5.2
Powiązane podatności
TOCTOU Race Condition w ClipBucket umożliwia wykonanie kodu PHP
Blind SQL Injection w ClipBucket v5 — sekcja komentarzy kanału
ClipBucket V5 — nieograniczony upload plików PHP przez funkcję playlist
PHP Deserialization w ClipBucket V5 — zdalne wykonanie kodu
PHP Deserialization w ClipBucket V5 umożliwia zdalne wykonanie kodu