CRITICAL🇬🇧 English

CVE-2024-49805

IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)

CVSS 9.4v3.1pub. 2024-11-29upd. 2025-01-29

IBM Security Verify Access Appliance w wersjach 10.0.0–10.0.8 zawiera poświadczenia zakodowane na stałe w kodzie aplikacji (hasła lub klucze kryptograficzne). Podatność jest krytyczna, ponieważ atakujący bez żadnego uwierzytelnienia może wykorzystać te dane do nieautoryzowanego dostępu do systemu lub jego komponentów.

Pokaż oryginał (EN)

IBM Security Verify Access Appliance 10.0.0 through 10.0.8 contains hard-coded credentials, such as a password or cryptographic key, which it uses for its own inbound authentication, outbound communication to external components, or encryption of internal data.

🤖 Analiza AI
Jak działa

Aplikacja przechowuje w swoim kodzie lub konfiguracji stałe poświadczenia (CWE-798), które są używane do uwierzytelniania przychodzącego, komunikacji wychodzącej z zewnętrznymi komponentami lub szyfrowania danych wewnętrznych. Ponieważ wartości tych poświadczeń są identyczne we wszystkich instalacjach produktu, każdy kto pozna ich treść — np. przez analizę oprogramowania lub wyciek — może je bezpośrednio wykorzystać. Atakujący nie musi posiadać żadnych uprawnień ani interakcji użytkownika, a atak możliwy jest zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do urządzenia lub powiązanych komponentów, co prowadzi do naruszenia poufności i integralności danych, a w określonych scenariuszach również do częściowej utraty dostępności usług.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7177447. Zaleca się niezwłoczną aktualizację do wersji wykraczającej poza 10.0.8 oraz — do czasu wdrożenia patcha — ograniczenie dostępu sieciowego do urządzenia wyłącznie do zaufanych hostów za pomocą firewall i segmentacji sieci.

Kogo dotyczy

IBM Security Verify Access Appliance w wersjach 10.0.0 do 10.0.8 (włącznie).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
  • IBM Security Verify Access

    APP
    Ibm
    10.0.0 – 10.0.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-1346CRITICAL9.3PL ✓ten sam produkt

Privilege escalation do root w IBM Security Verify Access i Verify Identity Access

CVE-2025-36356CRITICAL9.3PL ✓ten sam produkt

IBM Security Verify Access — privilege escalation do root przez nadmiarowe uprawnienia

CVE-2024-49806CRITICAL9.4PL ✓ten sam produkt

IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)

CVE-2024-49803CRITICAL9.8PL ✓ten sam produkt

IBM Security Verify Access — zdalne wykonanie poleceń (command injection)

CVE-2021-39070CRITICAL9.8ten sam produkt

IBM Security Verify Access 10.0.0.0, 10.0.1.0 and 10.0.2.0 with the advanced access control authentication ser...