Zwykli użytkownicy systemu Windows mogą odczytać i odszyfrować plik konfiguracyjny aplikacji BRAIN2 firmy Bizerba, zawierający dane dostępowe do bazy danych. Podatność jest krytyczna, ponieważ pozwala nieuprzywilejowanemu użytkownikowi lokalnie uzyskać pełen dostęp do bazy danych systemu.
▸ Pokaż oryginał (EN)
Standard Windows users can access the configuration file for database access of the BRAIN2 application and decrypt it.
Aplikacja BRAIN2 przechowuje dane uwierzytelniające do bazy danych w pliku konfiguracyjnym, który jest dostępny dla standardowych (nieuprzywilejowanych) kont użytkowników systemu Windows. Zwykły użytkownik może odczytać ten plik, a następnie odszyfrować zawarte w nim hasła lub inne dane dostępowe. Błąd jest klasyfikowany jako CWE-260 (Password in Configuration File), co wskazuje na niewłaściwe zabezpieczenie poświadczeń przechowywanych w plikach konfiguracyjnych.
Atakujący z lokalnym dostępem do systemu może uzyskać poświadczenia bazy danych aplikacji BRAIN2, co prowadzi do nieautoryzowanego dostępu do danych, ich modyfikacji lub usunięcia, a potencjalnie również do dalszego ruchu po infrastrukturze (lateral movement).
Należy zastosować patche dostępne u producenta zgodnie z referencjami (dokument Bizerba SA-2025-0003). Dodatkowo zaleca się ograniczenie uprawnień do pliku konfiguracyjnego na poziomie systemu plików Windows oraz natychmiastową zmianę skompromitowanych danych dostępowych do bazy danych.
Aplikacja BRAIN2 firmy Bizerba działająca na systemie Windows — szczegółowe wersje wskazane w referencjach producenta (bizerba.com)
Podatność opisana w biuletynie bezpieczeństwa Bizerba SA-2025-0003. Wektor ataku lokalny (AV:L), brak wymaganych uprawnień (PR:N) i brak interakcji użytkownika (UI:N) z zasięgiem wykraczającym poza komponent (S:C) uzasadniają ocenę CVSS 9.3.
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H