CRITICAL🇬🇧 English

CVE-2024-5514

MinMax CMS — ukryte konto administratora ze stałym hasłem (backdoor)

CVSS 9.8v3.1pub. 2024-05-30upd. 2026-04-15

MinMax CMS firmy MinMax Digital Technology zawiera ukryte konto administratora z niezmiennym, zakodowanym na stałe hasłem, którego nie można usunąć ani wyłączyć z poziomu interfejsu zarządzania. Jest to podatność krytyczna, ponieważ zdalny atakujący może przejąć pełną kontrolę nad systemem bez pozostawiania śladów w logach.

Pokaż oryginał (EN)

MinMax CMS from MinMax Digital Technology contains a hidden administrator account with a fixed password that cannot be removed or disabled from the management interface. Remote attackers who obtain this account can bypass IP access control restrictions and log in to the backend system without being recorded in the system logs.

🤖 Analiza AI
Jak działa

W systemie MinMax CMS istnieje ukryte konto administratora z hardcoded hasłem (CWE-798), będące celowo wbudowanym, ukrytym mechanizmem dostępu (CWE-912 — backdoor). Konta tego nie można usunąć ani dezaktywować z poziomu panelu administracyjnego, co uniemożliwia administratorom jego zablokowanie standardowymi metodami. Atakujący, który pozna dane tego konta, może ominąć wdrożone restrykcje dostępu oparte na adresach IP i zalogować się do panelu backendowego bez jakiegokolwiek wpisu w dziennikach systemowych, co skutecznie ukrywa sam fakt włamania.

Skutki

Atakujący uzyskuje nieautoryzowany, pełny dostęp administracyjny do systemu CMS, omijając mechanizmy kontroli dostępu i rejestrowania zdarzeń. Możliwe jest przejęcie kontroli nad treścią serwisu, kradzież danych oraz dalsze działania w infrastrukturze.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na brak możliwości usunięcia konta backdoor z poziomu interfejsu zarządzania, aktualizacja do załatanej wersji jest jedynym skutecznym środkiem zaradczym. Zaleca się również monitorowanie prób logowania do panelu administracyjnego na poziomie sieciowym oraz wdrożenie dodatkowych mechanizmów kontroli dostępu (np. firewall aplikacyjny).

Kogo dotyczy

MinMax CMS firmy MinMax Digital Technology — konkretne wersje wskazane w referencjach producenta

Uwagi

Podatność została zgłoszona i udokumentowana przez TWCERT/CC (Taiwan Computer Emergency Response Team) oraz CHT Security. Kombinacja hardcoded credentials (CWE-798) i celowego backdoora (CWE-912) wraz z obejściem logowania czyni tę podatność szczególnie niebezpieczną z perspektywy forensycznej i compliance.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje