CRITICAL🇬🇧 English

CVE-2025-70041

Hardkodowane hasło w ThermaKube (oslabs-beta)

CVSS 9.8v3.1pub. 2026-03-11upd. 2026-05-10

W projekcie ThermaKube (gałąź master) wykryto użycie hardkodowanego hasła (CWE-259). Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne uzyskanie pełnej kontroli nad systemem.

Pokaż oryginał (EN)

An issue pertaining to CWE-259: Use of Hard-coded Password was discovered in oslabs-beta ThermaKube master.

🤖 Analiza AI
Jak działa

Aplikacja ThermaKube zawiera hasło wbudowane na stałe w kod źródłowy. Atakujący, który odkryje to hasło (np. analizując publicznie dostępne repozytorium na GitHub), może użyć go do uwierzytelnienia się w systemie bez posiadania legalnych poświadczeń. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać pełny dostęp do systemu z naruszeniem poufności, integralności i dostępności danych — co odpowiada maksymalnym ocenom w każdej z tych kategorii w wektorze CVSS.

Mitygacja

Należy niezwłocznie usunąć hardkodowane hasło z kodu źródłowego i zastąpić je mechanizmem bezpiecznego zarządzania poświadczeniami (np. zmienne środowiskowe, vault). Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również rotację wszystkich poświadczeń, które mogły zostać ujawnione.

Kogo dotyczy

oslabs-beta ThermaKube, gałąź master (konkretne wersje nie zostały wskazane w opisie — należy sprawdzić referencje producenta)

Uwagi

Kod źródłowy projektu jest publicznie dostępny w repozytorium GitHub (github.com/oslabs-beta/ThermaKube), co oznacza, że hardkodowane hasło mogło zostać już odczytane przez osoby trzecie. Szczegóły podatności zostały opublikowane w formie publicznego gist na platformie GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje