CRITICAL🇬🇧 English

CVE-2025-5893

Ujawnienie danych logowania administratora w Smart Parking Management System (Honding Technology)

CVSS 9.3v4.0pub. 2025-06-09upd. 2026-04-15

System zarządzania parkingami Smart Parking Management System firmy Honding Technology zawiera podatność ujawnienia wrażliwych informacji, umożliwiającą nieuwierzytelnionemu atakującemu zdalne pobranie danych logowania administratora w postaci jawnego tekstu. Podatność jest krytyczna ze względu na brak jakichkolwiek barier autoryzacyjnych.

Pokaż oryginał (EN)

Smart Parking Management System from Honding Technology has an Exposure of Sensitive Information vulnerability, allowing unauthenticated remote attackers to access a specific page and obtain plaintext administrator credentials.

🤖 Analiza AI
Jak działa

Atakujący bez żadnego uwierzytelnienia może uzyskać dostęp do określonej strony w aplikacji webowej systemu. Strona ta ujawnia dane uwierzytelniające administratora przechowywane lub zwracane w postaci niezaszyfrowanego tekstu jawnego (plaintext). Podatność wynika z nieprawidłowej kontroli dostępu do zasobu oraz braku mechanizmów szyfrowania lub maskowania poświadczeń (CWE-256: przechowywanie hasła w postaci jawnej, CWE-497: ujawnienie wrażliwych danych systemowych).

Skutki

Atakujący uzyskuje pełne dane logowania administratora systemu parkingowego, co umożliwia mu przejęcie kontroli nad systemem, manipulację danymi oraz potencjalny dostęp do infrastruktury sieciowej, z którą system jest zintegrowany.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, do czasu wdrożenia poprawki, zaleca się ograniczenie dostępu do systemu wyłącznie do zaufanych adresów IP oraz monitorowanie nieautoryzowanych prób dostępu do panelu administracyjnego.

Kogo dotyczy

Smart Parking Management System firmy Honding Technology — konkretne wersje wskazane w referencjach producenta (TWCERT).

Uwagi

Podatność zgłoszona i opisana przez TWCERT/CC (Taiwan Computer Emergency Response Team). Raporty dostępne zarówno w wersji angielskiej, jak i chińskiej na stronie twcert.org.tw.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje