CRITICAL✓ PATCH🇬🇧 English

CVE-2026-25202

Zakodowane na stałe dane logowania do bazy danych w Samsung MagicINFO 9 Server

CVSS 9.8v3.1pub. 2026-02-02upd. 2026-03-10

W Samsung MagicINFO 9 Server dane uwierzytelniające do bazy danych (login i hasło) są zakodowane na stałe w aplikacji (hardcoded credentials). Umożliwia to nieuwierzytelnionemu atakującemu zalogowanie się do bazy danych i dowolną jej modyfikację.

Pokaż oryginał (EN)

The database account and password are hardcoded, allowing login with the account to manipulate the database in MagicInfo9 Server.This issue affects MagicINFO 9 Server: less than 21.1090.1.

🤖 Analiza AI
Jak działa

Podatność wynika z zastosowania stałych, wbudowanych w kod aplikacji danych logowania do bazy danych (CWE-798 — Use of Hard-coded Credentials). Atakujący, który pozna te dane — np. poprzez analizę plików aplikacji lub publicznie dostępne informacje — może bezpośrednio połączyć się z bazą danych serwera. Połączenie jest możliwe bez żadnego uwierzytelnienia po stronie atakującego, gdyż wystarczą zakodowane dane obecne w aplikacji. Po uzyskaniu dostępu atakujący może odczytywać, modyfikować lub usuwać dane przechowywane w bazie.

Skutki

Atakujący uzyskuje pełny dostęp do bazy danych systemu MagicINFO 9 Server, co pozwala na odczyt poufnych danych, ich modyfikację lub usunięcie, a w konsekwencji może prowadzić do całkowitego przejęcia kontroli nad systemem cyfrowego oznakowania.

Mitygacja

Należy zaktualizować Samsung MagicINFO 9 Server do wersji 21.1090.1 lub nowszej. Szczegółowe informacje o dostępnych patchach są dostępne u producenta pod adresem: https://security.samsungtv.com/securityUpdates

Kogo dotyczy

Samsung MagicINFO 9 Server we wszystkich wersjach starszych niż 21.1090.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Samsung Magicinfo 9 Server

    APP
    Samsung
    < 21.1090.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-4632CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Samsung MagicINFO 9 Server — zapis plików jako SYSTEM

CVE-2026-25200CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — Stored XSS przez upload plików HTML

CVE-2025-54438CRITICAL9.8PL ✓ten sam produkt

Path Traversal w Samsung MagicINFO 9 Server umożliwia wgranie web shell

CVE-2025-54440CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection

CVE-2025-54442CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection