CRITICAL🇬🇧 English

CVE-2026-26335

Calero VeraSMART: statyczne klucze machineKey umożliwiają RCE przez ViewState

CVSS 9.3v4.0pub. 2026-02-13upd. 2026-02-26

Calero VeraSMART w wersjach wcześniejszych niż 2022 R1 używa statycznych wartości ASP.NET/IIS machineKey, przechowywanych w pliku konfiguracyjnym web.config. Atakujący, który pozyska te klucze, może wykonać dowolny kod na serwerze bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

Calero VeraSMART versions prior to 2022 R1 use static ASP.NET/IIS machineKey values configured for the VeraSMART web application and stored in C:\\Program Files (x86)\\Veramark\\VeraSMART\\WebRoot\\web.config. An attacker who obtains these keys can craft a valid ASP.NET ViewState payload that passes integrity validation and is accepted by the application, resulting in server-side deserialization and remote code execution in the context of the IIS application.

🤖 Analiza AI
Jak działa

Aplikacja VeraSMART przechowuje statyczne, niezmienne wartości machineKey w pliku C:\Program Files (x86)\Veramark\VeraSMART\WebRoot\web.config. Klucze te służą do podpisywania i weryfikacji integralności obiektów ASP.NET ViewState. Znając te wartości, atakujący może spreparować złośliwy payload ViewState, który przejdzie weryfikację integralności po stronie serwera. Przekazanie takiego payloadu do aplikacji skutkuje deserializacją po stronie serwera i wykonaniem kodu w kontekście procesu IIS (RCE).

Skutki

Atakujący zdalny, nieuwierzytelniony może uzyskać pełne wykonanie kodu (RCE) w kontekście konta usługi IIS, co w praktyce oznacza możliwość przejęcia kontroli nad serwerem aplikacji, kradzieży danych oraz dalszego ruchu w sieci (lateral movement).

Mitygacja

Należy zaktualizować Calero VeraSMART do wersji 2022 R1 lub nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, należy ograniczyć dostęp sieciowy do interfejsu webowego aplikacji oraz zabezpieczyć dostęp do pliku web.config, aby zapobiec ujawnieniu wartości machineKey. Szczegółowe informacje dostępne są w referencjach producenta.

Kogo dotyczy

Calero VeraSMART w wersjach wcześniejszych niż 2022 R1

Uwagi

Wartości machineKey przechowywane są w pliku C:\Program Files (x86)\Veramark\VeraSMART\WebRoot\web.config. CWE-321 (Use of Hard-coded Cryptographic Key) potwierdza, że podatność wynika ze stosowania stałych kluczy kryptograficznych zakodowanych na stałe w konfiguracji aplikacji.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Calero Verasmart

    APP
    Calero
    2022.0< 2022.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-26333CRITICAL10.0PL ✓ten sam produkt

Calero VeraSMART – nieuwierzytelnione RCE przez .NET Remoting i ViewState

CVE-2026-26334HIGH8.5ten sam produkt

Calero VeraSMART versions prior to 2026 R1 contain hardcoded static AES encryption keys within Veramark.Framew...