CRITICAL🇬🇧 English

CVE-2025-15586

Authentication bypass przez type juggling w OGP-Website

CVSS 10.0v4.0pub. 2026-02-19upd. 2026-04-15

OGP-Website zawiera krytyczną podatność typu type juggling (CWE-287), która umożliwia obejście mechanizmu uwierzytelnienia bez znajomości hasła atakowanego konta. Podatność uzyskała maksymalny wynik CVSS 10.0, co wskazuje na możliwość jej wykorzystania zdalnie, bez żadnych wymagań wstępnych.

Pokaż oryginał (EN)

OGP-Website installs prior git commit 52f865a4fba763594453068acf8fa9e3fc38d663 are affected by a type juggling flaw which if exploited can result in authentication bypass without knowledge of the victim account's password.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowym porównywaniu typów danych podczas weryfikacji poświadczeń użytkownika — mechanizm znany jako type juggling. Atakujący może spreparować żądanie uwierzytelnienia w taki sposób, by porównanie zwróciło wartość pozytywną mimo podania nieprawidłowego lub pustego hasła. Podatność jest obecna we wszystkich wersjach OGP-Website poprzedzających commit o skrócie 52f865a4fba763594453068acf8fa9e3fc38d663.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do dowolnego konta użytkownika — w tym kont administracyjnych — bez znajomości hasła. W konsekwencji możliwe jest przejęcie pełnej kontroli nad instancją OGP-Website oraz zarządzanymi przez nią serwerami gier.

Mitygacja

Należy niezwłocznie zaktualizować instalację OGP-Website do wersji zawierającej commit 52f865a4fba763594453068acf8fa9e3fc38d663 lub nowszej. Szczegóły poprawki dostępne są w referencjach producenta (pull request #644 w repozytorium GitHub OpenGamePanel/OGP-Website).

Kogo dotyczy

OGP-Website (OpenGamePanel) — wszystkie wersje poprzedzające commit 52f865a4fba763594453068acf8fa9e3fc38d663

Uwagi

Podatność opisana jest w publicznym wpisie blogowym pod adresem projectblack.io jako element szerszej analizy bezpieczeństwa OGP-Website, w której omawiane jest również potencjalne RCE. Administratorzy powinni traktować tę podatność priorytetowo ze względu na jej powiązanie z innymi zidentyfikowanymi lukami.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-15586 — Authentication bypass przez type juggling w OGP-Website — CRITICAL 10.0 | CVEbaza.pl