CRITICAL✓ PATCH🇬🇧 English

CVE-2025-26701

Percona PMM Server (OVA) — domyślne dane logowania umożliwiają pełny dostęp root

CVSS 10.0v3.1pub. 2025-03-11upd. 2026-04-15

Podatność w Percona PMM Server (OVA) przed wersją 3.0.0-1.ova polega na obecności domyślnych danych uwierzytelniających do konta serwisowego, co umożliwia atakującemu uzyskanie dostępu SSH, eskalację uprawnień do root oraz ujawnienie wrażliwych danych. Krytyczny wynik CVSS 10.0 wynika z możliwości przeprowadzenia ataku sieciowego bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

An issue was discovered in Percona PMM Server (OVA) before 3.0.0-1.ova. The default service account credentials can lead to SSH access, use of Sudo to root, and sensitive data exposure. This is fixed in PMM2 2.42.0-1.ova, 2.43.0-1.ova, 2.43.1-1.ova, 2.43.2-1.ova, and 2.44.0-1.ova and in PMM3 3.0.0-1.ova and later.

🤖 Analiza AI
Jak działa

Percona PMM Server w wersji OVA jest dostarczany z domyślnymi, niezabezpieczonymi danymi logowania do wbudowanego konta serwisowego. Atakujący może wykorzystać te poświadczenia do nawiązania sesji SSH z maszyną wirtualną. Po uzyskaniu dostępu możliwe jest użycie mechanizmu Sudo w celu uzyskania uprawnień root (privilege escalation), a następnie swobodny dostęp do wszystkich zasobów systemu i przechowywanych wrażliwych danych.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym serwera (uprawnienia root), co umożliwia odczyt, modyfikację lub usunięcie danych monitoringu, a także kompromitację infrastruktury zarządzanej przez PMM.

Mitygacja

Należy zaktualizować PMM2 do jednej z wersji: 2.42.0-1.ova, 2.43.0-1.ova, 2.43.1-1.ova, 2.43.2-1.ova lub 2.44.0-1.ova, a PMM3 do wersji 3.0.0-1.ova lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.

Kogo dotyczy

Percona PMM Server w formacie OVA — wszystkie wersje PMM2 przed 2.42.0-1.ova oraz PMM3 przed 3.0.0-1.ova

Uwagi

Podatność sklasyfikowana jako CWE-1393 (Use of Default Credentials). Dotyczy wyłącznie wdrożeń opartych na obrazie OVA (maszyna wirtualna). Wdrożenia oparte na kontenerach lub inne formy instalacji mogą nie być podatne — należy to zweryfikować z dokumentacją producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje