Produkty Partner Software (Partner Software Product oraz aplikacja webowa Partner Web) stosują te same domyślne dane logowania (nazwa użytkownika i hasło) dla konta administratora we wszystkich wersjach. Jest to podatność krytyczna, ponieważ atakujący bez żadnych uprawnień może przejąć pełną kontrolę nad systemem przez sieć.
▸ Pokaż oryginał (EN)
Partner Software's Partner Software Product and corresponding Partner Web application use the same default username and password for the administrator account across all versions.
Producent skonfigurował identyczne, niezmienione domyślne dane uwierzytelniające konta administratora we wszystkich wersjach oprogramowania. Atakujący zdalny, bez konieczności wcześniejszego uwierzytelnienia, może użyć publicznie znanych lub łatwych do odgadnięcia danych logowania, aby uzyskać dostęp do konta administratora. Podatność klasyfikowana jest jako CWE-1391 (Use of Weak Credentials), co wskazuje na systemowy błąd w polityce zarządzania domyślnymi danymi dostępowymi.
Atakujący może uzyskać pełny dostęp administracyjny do systemu bez żadnej autoryzacji, co umożliwia mu odczyt, modyfikację lub zniszczenie danych, a także całkowite przejęcie kontroli nad aplikacją i jej środowiskiem.
Należy niezwłocznie zmienić domyślne hasło konta administratora na unikalne, silne hasło po każdej instalacji lub aktualizacji systemu. Zaleca się zastosowanie dostępnych patchy i aktualizacji zgodnie z informacjami producenta opublikowanymi pod adresem https://partnersoftware.com/resources/software-release-info-4-32/ oraz zaleceniami CERT/CC (https://kb.cert.org/vuls/id/317469). Dodatkowo należy ograniczyć dostęp do panelu administracyjnego wyłącznie do zaufanych adresów IP.
Partner Software Product oraz Partner Web application — wszystkie wersje oprogramowania według opisu producenta (szczegóły w referencjach producenta: https://partnersoftware.com/resources/software-release-info-4-32/)
Podatność zgłoszona przez CERT/CC (VU#317469). Producent opublikował informacje o wydaniu oprogramowania pod adresem https://partnersoftware.com/resources/software-release-info-4-32/.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H