W Samsung MagicINFO 9 Server dane uwierzytelniające do bazy danych (login i hasło) są zakodowane na stałe w aplikacji (hardcoded credentials). Umożliwia to nieuwierzytelnionemu atakującemu zalogowanie się do bazy danych i dowolną jej modyfikację.
▸ Pokaż oryginał (EN)
The database account and password are hardcoded, allowing login with the account to manipulate the database in MagicInfo9 Server.This issue affects MagicINFO 9 Server: less than 21.1090.1.
Podatność wynika z zastosowania stałych, wbudowanych w kod aplikacji danych logowania do bazy danych (CWE-798 — Use of Hard-coded Credentials). Atakujący, który pozna te dane — np. poprzez analizę plików aplikacji lub publicznie dostępne informacje — może bezpośrednio połączyć się z bazą danych serwera. Połączenie jest możliwe bez żadnego uwierzytelnienia po stronie atakującego, gdyż wystarczą zakodowane dane obecne w aplikacji. Po uzyskaniu dostępu atakujący może odczytywać, modyfikować lub usuwać dane przechowywane w bazie.
Atakujący uzyskuje pełny dostęp do bazy danych systemu MagicINFO 9 Server, co pozwala na odczyt poufnych danych, ich modyfikację lub usunięcie, a w konsekwencji może prowadzić do całkowitego przejęcia kontroli nad systemem cyfrowego oznakowania.
Należy zaktualizować Samsung MagicINFO 9 Server do wersji 21.1090.1 lub nowszej. Szczegółowe informacje o dostępnych patchach są dostępne u producenta pod adresem: https://security.samsungtv.com/securityUpdates
Samsung MagicINFO 9 Server we wszystkich wersjach starszych niż 21.1090.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSamsung Magicinfo 9 Server
APPSamsung< 21.1090.1
Powiązane podatności
Path Traversal w Samsung MagicINFO 9 Server — zapis plików jako SYSTEM
Samsung MagicINFO 9 Server — Stored XSS przez upload plików HTML
Path Traversal w Samsung MagicINFO 9 Server umożliwia wgranie web shell
Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection
Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection