Podatność w Progress Sitefinity (CWE-522) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu pozyskanie danych uwierzytelniających w postaci jawnego tekstu, używanych do połączenia z usługą Sitefinity Insight. Ocena CVSS 10.0 (CRITICAL) wskazuje na krytyczny poziom zagrożenia.
▸ Pokaż oryginał (EN)
CWE‑522: Insufficiently Protected Credentials in web services in Progress Sitefinity version from 14.0.7700 to 14.4.8152, and 15.0.8200 to 15.0.8234, and 15.1.8300 to 15.1.8335, 15.2.8400 to 15.2.8441, 15.3.8500 to 15.3.8531, and 15.4.8600 to 15.4.8630 allows a remote unauthenticated attacker to obtain plain-text credentials used connect to Sitefinity Insight service. Successful exploitation requires active integration with Sitefinity Insight and non-default site configuration.
Usługi web w Progress Sitefinity przechowują lub przesyłają dane uwierzytelniające (credentials) w sposób niewystarczająco chroniony (Insufficiently Protected Credentials). Atakujący bez żadnego uwierzytelnienia, działając zdalnie przez sieć, jest w stanie odczytać te dane w postaci plain-text. Skuteczna eksploatacja wymaga aktywnej integracji z usługą Sitefinity Insight oraz niestandardowej (non-default) konfiguracji witryny.
Atakujący może przejąć plain-text credentials służące do komunikacji z Sitefinity Insight, co może umożliwić nieuprawniony dostęp do powiązanych usług i danych przetwarzanych przez tę integrację.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w komunikacie bezpieczeństwa Progress Sitefinity (maj 2026). Zaleca się pilną aktualizację do wersji niewymienionych w zakresach podatnych oraz weryfikację konfiguracji integracji z Sitefinity Insight.
Progress Sitefinity w wersjach: 14.0.7700–14.4.8152, 15.0.8200–15.0.8234, 15.1.8300–15.1.8335, 15.2.8400–15.2.8441, 15.3.8500–15.3.8531 oraz 15.4.8600–15.4.8630
Skuteczna eksploatacja wymaga spełnienia dwóch warunków: aktywnej integracji z usługą Sitefinity Insight oraz niestandardowej konfiguracji witryny (non-default site configuration). Instalacje bez tej integracji lub z domyślną konfiguracją nie są bezpośrednio narażone.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:NProgress Sitefinity
APPProgress14.0.7700 – 14.4.8152 (bez)15.0.8200 – 15.0.8234 (bez)15.1.8300 – 15.1.8335 (bez)15.2.8400 – 15.2.8441 (bez)15.3.8500 – 15.3.8531 (bez)15.4.8600 – 15.4.8630 (bez)
Powiązane podatności
Telerik.Web.UI.dll in Progress Telerik UI for ASP.NET AJAX before R2 2017 SP1 and Sitefinity before 10.0.6412....
Obejście uwierzytelnienia w Progress Sitefinity — pełny dostęp bez logowania
An issue was discovered in Progress Sitefinity 13.3 before 13.3.7647, 14.0 before 14.0.7736, 14.1 before 14.1....
Progress Sitefinity 12.1 has a Weak Password Recovery Mechanism for a Forgotten Password because the HTTP Host...
Sitefinity 5.1, 5.2, 5.3, 5.4, 6.x, 7.x, 8.x, 9.x, and 10.x allow remote attackers to bypass authentication an...