CRITICAL🇬🇧 English

CVE-2025-67418

ClipBucket 5.5.2 — hardcoded domyślne dane logowania w panelu admina

CVSS 9.8v3.1pub. 2025-12-22upd. 2026-07-05

ClipBucket 5.5.2 zawiera zakodowane na stałe domyślne dane uwierzytelniające administratora, które są dostarczane razem z aplikacją. Nieuwierzytelniony zdalny atakujący może zalogować się do panelu administracyjnego bez żadnej znajomości środowiska ofiary, uzyskując pełną kontrolę nad aplikacją.

Pokaż oryginał (EN)

ClipBucket 5.5.2 is affected by an improper access control issue where the product is shipped or deployed with hardcoded default administrative credentials. An unauthenticated remote attacker can log in to the administrative panel using these default credentials, resulting in full administrative control of the application.

🤖 Analiza AI
Jak działa

Aplikacja ClipBucket 5.5.2 jest wdrażana z domyślnymi, hardcoded danymi logowania do panelu administracyjnego (CWE-798 — użycie zakodowanych na stałe poświadczeń). Atakujący bez żadnego wcześniejszego uwierzytelnienia może użyć tych znanych, publicznych danych logowania, aby uzyskać dostęp do interfejsu administracyjnego. Nie jest wymagana żadna interakcja ze strony użytkownika ani znajomość specyfiki docelowego środowiska — wystarczy dostęp sieciowy do panelu zarządzania aplikacją.

Skutki

Atakujący uzyskuje pełną kontrolę administracyjną nad aplikacją, co może prowadzić do przejęcia kont użytkowników, wycieku danych, modyfikacji treści oraz potencjalnego dalszego kompromitowania infrastruktury serwerowej.

Mitygacja

Należy niezwłocznie zmienić domyślne dane logowania administratora po każdej instalacji lub aktualizacji aplikacji. Zaleca się zastosowanie patchy dostępnych u producenta zgodnie z referencjami. Do czasu aktualizacji należy ograniczyć dostęp do panelu administracyjnego wyłącznie do zaufanych adresów IP za pomocą firewall lub innych mechanizmów kontroli dostępu.

Kogo dotyczy

ClipBucket w wersji 5.5.2 (produkt firmy Oxygenz)

Uwagi

Podatność opisana w publikacji na platformie Medium przez badacza Arpit Sharma (@arpit03sharma2003). Wektor ataku jest trywialny — brak wymagań co do uprawnień, interakcji użytkownika ani skomplikowanych warunków ataku (CVSS AV:N/AC:L/PR:N/UI:N).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oxygenz Clipbucket

    APP
    Oxygenz
    5.3 – 5.5.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-25728CRITICAL9.3PL ✓ten sam produkt

TOCTOU Race Condition w ClipBucket umożliwia wykonanie kodu PHP

CVE-2026-21875CRITICAL9.8PL ✓ten sam produkt

Blind SQL Injection w ClipBucket v5 — sekcja komentarzy kanału

CVE-2025-21624CRITICAL9.8PL ✓ten sam produkt

ClipBucket V5 — nieograniczony upload plików PHP przez funkcję playlist

CVE-2024-54135CRITICAL9.8PL ✓ten sam produkt

PHP Deserialization w ClipBucket V5 — zdalne wykonanie kodu

CVE-2024-54136CRITICAL9.8PL ✓ten sam produkt

PHP Deserialization w ClipBucket V5 umożliwia zdalne wykonanie kodu