CRITICAL🇬🇧 English

CVE-2026-26218

Newbee-Mall: domyślne dane logowania administratora umożliwiają przejęcie konta

CVSS 9.3v4.0pub. 2026-02-12upd. 2026-02-25

Aplikacja Newbee-Mall zawiera predefiniowane konta administratora z przewidywalnymi domyślnymi hasłami, osadzonymi w skrypcie inicjalizacji bazy danych. Nieuprawniony atakujący może zalogować się jako administrator i uzyskać pełną kontrolę nad aplikacją bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

newbee-mall includes pre-seeded administrator accounts in its database initialization script. These accounts are provisioned with a predictable default password. Deployments that initialize or reset the database using the provided schema and fail to change the default administrative credentials may allow unauthenticated attackers to log in as an administrator and gain full administrative control of the application.

🤖 Analiza AI
Jak działa

Skrypt inicjalizacji bazy danych (schema) dołączony do projektu Newbee-Mall automatycznie tworzy konta administratora z przewidywalnymi, domyślnymi hasłami. Jeśli administrator wdrażający aplikację nie zmieni tych danych logowania po inicjalizacji lub zresetowaniu bazy danych, konta pozostają aktywne z fabrycznymi poświadczeniami. Atakujący, znając przewidywalne dane logowania (zakodowane na stałe w publicznym repozytorium), może zalogować się jako administrator bez żadnej wcześniejszej wiedzy o środowisku docelowym.

Skutki

Atakujący uzyskuje pełne uprawnienia administracyjne w aplikacji, co pozwala na dowolną modyfikację danych, przejęcie kont użytkowników oraz manipulację całą platformą e-commerce.

Mitygacja

Należy niezwłocznie zmienić domyślne hasła wszystkich predefiniowanych kont administratora po każdej inicjalizacji lub resecie bazy danych. Zaleca się przegląd wszystkich aktywnych kont administracyjnych i wymuszenie silnych, unikalnych haseł. Należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

Newbee-Mall (Newbee-Mall Project) — wdrożenia, które inicjalizują lub resetują bazę danych za pomocą dostarczonego skryptu schema i nie zmieniają domyślnych poświadczeń administracyjnych

Uwagi

Podatność sklasyfikowana jako CWE-798 (Use of Hard-coded Credentials). Szczegóły techniczne, w tym prawdopodobnie same domyślne poświadczenia, są publicznie dostępne w repozytorium GitHub projektu oraz w serwisie VulnCheck, co znacząco obniża próg wejścia dla potencjalnego atakującego.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Newbee Mall Project Newbee Mall

    APP
    Newbee-Mall Project
    ≤ 1.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-26219CRITICAL9.3PL ✓ten sam produkt

Newbee-Mall: słabe hashowanie haseł (MD5 bez soli) umożliwia odzyskanie danych logowania

CVE-2022-27477CRITICAL9.8ten sam produkt

Newbee-Mall v1.0.0 was discovered to contain an arbitrary file upload via the Upload function at /admin/goods/...

CVE-2020-23448CRITICAL9.8ten sam produkt

newbee-mall all versions are affected by incorrect access control to remotely gain privileges through AdminLog...

CVE-2019-19113CRITICAL9.8ten sam produkt

main/resources/mapper/NewBeeMallGoodsMapper.xml in newbee-mall (aka New Bee) before 2019-10-23 allows search?g...

CVE-2024-48178HIGH8.1ten sam produkt

newbee-mall v1.0.0 is vulnerable to Server-Side Request Forgery (SSRF) via the goodsCoverImg parameter.