W projekcie ThermaKube (gałąź master) wykryto użycie hardkodowanego hasła (CWE-259). Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne uzyskanie pełnej kontroli nad systemem.
▸ Pokaż oryginał (EN)
An issue pertaining to CWE-259: Use of Hard-coded Password was discovered in oslabs-beta ThermaKube master.
Aplikacja ThermaKube zawiera hasło wbudowane na stałe w kod źródłowy. Atakujący, który odkryje to hasło (np. analizując publicznie dostępne repozytorium na GitHub), może użyć go do uwierzytelnienia się w systemie bez posiadania legalnych poświadczeń. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.
Atakujący może uzyskać pełny dostęp do systemu z naruszeniem poufności, integralności i dostępności danych — co odpowiada maksymalnym ocenom w każdej z tych kategorii w wektorze CVSS.
Należy niezwłocznie usunąć hardkodowane hasło z kodu źródłowego i zastąpić je mechanizmem bezpiecznego zarządzania poświadczeniami (np. zmienne środowiskowe, vault). Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również rotację wszystkich poświadczeń, które mogły zostać ujawnione.
oslabs-beta ThermaKube, gałąź master (konkretne wersje nie zostały wskazane w opisie — należy sprawdzić referencje producenta)
Kod źródłowy projektu jest publicznie dostępny w repozytorium GitHub (github.com/oslabs-beta/ThermaKube), co oznacza, że hardkodowane hasło mogło zostać już odczytane przez osoby trzecie. Szczegóły podatności zostały opublikowane w formie publicznego gist na platformie GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H