CRITICAL🇬🇧 English

CVE-2025-6513

BRAIN2: Niezabezpieczony plik konfiguracyjny bazy danych dostępny dla zwykłych użytkowników Windows

CVSS 9.3v3.1pub. 2025-06-23upd. 2026-04-15

Zwykli użytkownicy systemu Windows mogą odczytać i odszyfrować plik konfiguracyjny aplikacji BRAIN2 firmy Bizerba, zawierający dane dostępowe do bazy danych. Podatność jest krytyczna, ponieważ pozwala nieuprzywilejowanemu użytkownikowi lokalnie uzyskać pełen dostęp do bazy danych systemu.

Pokaż oryginał (EN)

Standard Windows users can access the configuration file for database access of the BRAIN2 application and decrypt it.

🤖 Analiza AI
Jak działa

Aplikacja BRAIN2 przechowuje dane uwierzytelniające do bazy danych w pliku konfiguracyjnym, który jest dostępny dla standardowych (nieuprzywilejowanych) kont użytkowników systemu Windows. Zwykły użytkownik może odczytać ten plik, a następnie odszyfrować zawarte w nim hasła lub inne dane dostępowe. Błąd jest klasyfikowany jako CWE-260 (Password in Configuration File), co wskazuje na niewłaściwe zabezpieczenie poświadczeń przechowywanych w plikach konfiguracyjnych.

Skutki

Atakujący z lokalnym dostępem do systemu może uzyskać poświadczenia bazy danych aplikacji BRAIN2, co prowadzi do nieautoryzowanego dostępu do danych, ich modyfikacji lub usunięcia, a potencjalnie również do dalszego ruchu po infrastrukturze (lateral movement).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (dokument Bizerba SA-2025-0003). Dodatkowo zaleca się ograniczenie uprawnień do pliku konfiguracyjnego na poziomie systemu plików Windows oraz natychmiastową zmianę skompromitowanych danych dostępowych do bazy danych.

Kogo dotyczy

Aplikacja BRAIN2 firmy Bizerba działająca na systemie Windows — szczegółowe wersje wskazane w referencjach producenta (bizerba.com)

Uwagi

Podatność opisana w biuletynie bezpieczeństwa Bizerba SA-2025-0003. Wektor ataku lokalny (AV:L), brak wymaganych uprawnień (PR:N) i brak interakcji użytkownika (UI:N) z zasięgiem wykraczającym poza komponent (S:C) uzasadniają ocenę CVSS 9.3.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-6513 — BRAIN2: Niezabezpieczony plik konfiguracyjny bazy danych dostępny dla zwykłych użytkowników Windows — CRITICAL 9.3 | CVEbaza.pl