CRITICAL✓ PATCH🇬🇧 English

CVE-2026-23781

BMC Control-M/MFT — zakodowane na stałe dane logowania w kodzie (hardcoded credentials)

CVSS 9.8v3.1pub. 2026-04-10upd. 2026-04-27

W aplikacji BMC Control-M/Managed File Transfer (wersje 9.0.20–9.0.22) odkryto zestaw domyślnych danych logowania do interfejsu debugowania zakodowanych jawnym tekstem bezpośrednio w pakiecie aplikacji. Podatność pozwala nieuwierzytelnionemu atakującemu uzyskać nieautoryzowany dostęp do API debug interfejsu MFT.

Pokaż oryginał (EN)

An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. A set of default debug user credentials is hardcoded in cleartext within the application package. If left unchanged, these credentials can be easily obtained and may allow unauthorized access to the MFT API debug interface.

🤖 Analiza AI
Jak działa

Dane uwierzytelniające do konta debugowego są przechowywane w postaci jawnego tekstu (cleartext) bezpośrednio w plikach pakietu aplikacji — jest to przypadek CWE-798 (hardcoded credentials). Atakujący może odczytać te dane analizując zawartość pakietu instalacyjnego lub pliki aplikacji bez konieczności posiadania uprawnień ani przeprowadzania zaawansowanych działań. Jeśli dane nie zostały zmienione przez administratora, mogą być użyte do zalogowania się do interfejsu debug API aplikacji MFT przez sieć, bez żadnej dodatkowej autoryzacji.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do interfejsu debug API BMC Control-M/MFT, co — przy ocenie CVSS na poziomie 9.8 (C:H/I:H/A:H) — może prowadzić do pełnego naruszenia poufności, integralności i dostępności przetwarzanych plików oraz konfiguracji systemu.

Mitygacja

Należy zastosować patch Control-M MFT PAAFP-9-0-22-025 dostępny dla wersji 9.0.22 zgodnie z dokumentacją producenta pod adresem wskazanym w referencjach. Dodatkowo należy niezwłocznie zmienić lub wyłączyć domyślne dane logowania do interfejsu debug, a dostęp do API debug interfejsu MFT ograniczyć na poziomie firewalla wyłącznie do zaufanych adresów administracyjnych.

Kogo dotyczy

BMC Control-M/Managed File Transfer w wersjach 9.0.20 oraz 9.0.21 i 9.0.22 (zakres 9.0.20 do 9.0.22)

Uwagi

Patch jest identyfikowany jako PAAFP-9-0-22-025 i dotyczy wersji 9.0.22 — zgodnie z referencją producenta (docs.bmc.com). Podatność wymaga jedynie dostępu sieciowego do interfejsu API i nie wymaga żadnej interakcji użytkownika ani posiadania uprzednich uprawnień (PR:N/UI:N), co znacząco ułatwia jej eksploatację.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Bmc Control M\/managed File Transfer

    APP
    Bmc
    9.0.20 – 9.0.22
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-23780HIGH8.8ten sam produkt

An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. A SQL injection vulnerability in the MFT A...

CVE-2026-23782HIGH7.5ten sam produkt

An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. An API management endpoint allows unauthen...

CVE-2025-55113CRITICAL9.5PL ✓ten sam vendor

BMC Control-M/Agent: Bypass ACL przez NULL byte w certyfikacie klienta

CVE-2025-55109CRITICAL9.5PL ✓ten sam vendor

BMC Control-M/Agent: Authentication Bypass przez niezabezpieczony keystore

CVE-2025-55115CRITICAL9.3PL ✓ten sam vendor

Path traversal w BMC Control-M/Agent prowadzący do privilege escalation