CRITICAL🇬🇧 English

CVE-2026-22240

BLUVOYIX: ujawnienie haseł w postaci jawnej przez nieuwierzytelnione API

CVSS 10.0v4.0pub. 2026-01-14upd. 2026-02-02

Platforma BLUVOYIX firmy Blusparkglobal przechowuje hasła użytkowników w postaci jawnej (plaintext) i udostępnia je przez nieuwierzytelnione API. Atakujący bez żadnych uprawnień może pobrać hasła wszystkich użytkowników, w tym administratorów, i przejąć pełną kontrolę nad platformą.

Pokaż oryginał (EN)

The vulnerability exists in BLUVOYIX due to an improper password storage implementation and subsequent exposure via unauthenticated APIs. An unauthenticated remote attacker could exploit this vulnerability by sending specially crafted HTTP requests to the vulnerable users API to retrieve the plaintext passwords of all user users. Successful exploitation of this vulnerability could allow the attacker to gain full access to customers' data and completely compromise the targeted platform by logging in using an exposed admin email address and password.

🤖 Analiza AI
Jak działa

Podatność wynika z dwóch powiązanych błędów: nieprawidłowego przechowywania haseł (brak hashowania — CWE-522, CWE-312) oraz ich ekspozycji przez endpoint API dostępny bez uwierzytelnienia (CWE-200). Atakujący wysyła specjalnie spreparowane żądania HTTP do podatnego endpointu API użytkowników, w odpowiedzi otrzymując hasła w postaci jawnej. Następnie może zalogować się przy użyciu ujawnionego adresu e-mail i hasła konta administratorskiego.

Skutki

Atakujący uzyskuje dostęp do haseł plaintext wszystkich użytkowników platformy, co umożliwia mu pełne przejęcie kont — włącznie z kontem administratora — oraz nieograniczony dostęp do danych wszystkich klientów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://blusparkglobal.com/bluvoyix/). Do czasu wdrożenia poprawki zaleca się odizolowanie dostępu do podatnych endpointów API na poziomie firewall oraz wymuszenie zmiany haseł wszystkich użytkowników po aktualizacji.

Kogo dotyczy

Produkt BLUVOYIX firmy Blusparkglobal — wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:M/U:Red
  • Blusparkglobal Bluvoyix

    APP
    Blusparkglobal
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-22236CRITICAL10.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia w Blusparkglobal BLUVOYIX (Auth Bypass)

CVE-2026-22237CRITICAL10.0PL ✓ten sam produkt

Ujawnienie wewnętrznej dokumentacji API w Blusparkglobal BLUVOYIX

CVE-2026-22238CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia w admin API Blusparkglobal BLUVOYIX — pełne przejęcie platformy

CVE-2026-22239CRITICAL10.0PL ✓ten sam produkt

Blusparkglobal Bluvoyix — niekontrolowane wysyłanie e-maili przez API