CRITICAL🇬🇧 English

CVE-2025-15623

Sparx Pro Cloud Server: ujawnienie hasła do bazy danych w plaintext

CVSS 9.3v4.0pub. 2026-04-17upd. 2026-06-02

Niezautentykowany użytkownik może w określonych sytuacjach pobrać hasło do bazy danych w postaci niezaszyfrowanej (plaintext) z Sparx Pro Cloud Server. Podatność jest krytyczna, gdyż nie wymaga żadnego uwierzytelnienia i może prowadzić do pełnego przejęcia bazy danych.

Pokaż oryginał (EN)

Exposure of Private Personal Information to an Unauthorized Actor, : Exposure of Sensitive System Information to an Unauthorized Control Sphere vulnerability in Sparx Systems Pty Ltd. Sparx Pro Cloud Server. Unauthenticated user can retrieve database password in plaintext in certain situations

🤖 Analiza AI
Jak działa

Podatność obejmuje dwie klasy błędów: ujawnienie prywatnych danych osobowych nieuprawnionym podmiotom (CWE-359) oraz ekspozycję wrażliwych informacji systemowych poza dozwoloną strefę kontroli (CWE-497). W określonych warunkach aplikacja udostępnia hasło do bazy danych w postaci jawnej (plaintext) bez weryfikacji tożsamości żądającego. Atakujący zdalnie, bez logowania, może uzyskać dostęp do tych danych poprzez sieć.

Skutki

Atakujący może przejąć poświadczenia do bazy danych, co umożliwia nieuprawniony dostęp do jej zasobów, odczyt, modyfikację lub eksfiltrację danych przechowywanych w systemie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://sparxsystems.com/products/procloudserver/6.1/history.html

Kogo dotyczy

Sparx Systems Pty Ltd. Sparx Pro Cloud Server — konkretne wersje wskazane w referencjach producenta (historia wydań dostępna pod adresem referencyjnym)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:X/V:C/RE:M/U:Red
  • Sparxsystems Pro Cloud Server

    APP
    Sparxsystems
    6.0.163
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-42097CRITICAL9.3PL ✓ten sam produkt

Sparx Pro Cloud Server — SQL injection bez uwierzytelnienia przez pominięcie parametru

CVE-2025-15624CRITICAL9.3PL ✓ten sam produkt

Plaintext Storage haseł w Sparx Pro Cloud Server z OpenID

CVE-2025-15625CRITICAL9.5PL ✓ten sam produkt

SQL Injection w Sparx Pro Cloud Server — nieautoryzowany dostęp do bazy danych

CVE-2026-42096HIGH8.7ten sam produkt

Sparx Pro Cloud Server is vulnerable to Broken Access Control within communication with the database. Due to l...

CVE-2026-42099HIGH7.7ten sam produkt

Sparx Pro Cloud Server is vulnerable to a Race Condition in the /data_api/dl_internal_artifact.php endpoint. T...