CRITICAL🇬🇧 English

CVE-2026-9222

Setracker2 Android: uwierzytelnienie wyłącznie hashem hasła (pass-the-hash)

CVSS 9.2v4.0pub. 2026-06-26

Aplikacja mobilna Setracker2 na Android (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych przesyła do usług backendowych wyłącznie hash hasła zamiast pełnego procesu uwierzytelnienia. Atakujący, który wejdzie w posiadanie hasha, może uzyskać pełny dostęp do konta bez znajomości hasła jawnego.

Pokaż oryginał (EN)

Setracker2 Android Companion App com.tgelec.setracker versions 3.1.5 and prior only require the password hash when authenticating with backend services from the client. This could allow an attacker, who knows the hash, to authenticate and gain full access.

🤖 Analiza AI
Jak działa

Aplikacja podczas logowania do usług backendowych przesyła jedynie hash hasła użytkownika, nie stosując dodatkowych mechanizmów weryfikacji (np. challenge-response). Oznacza to, że hash pełni rolę tożsamości uwierzytelniającej — wystarczy go przechwycić lub pozyskać z innego źródła (np. wycieku bazy danych, sniffingu ruchu sieciowego). Atakujący dysponujący hashem może bezpośrednio uwierzytelnić się w backendzie aplikacji i przejąć kontrolę nad kontem ofiary (atak typu pass-the-hash).

Skutki

Atakujący znający hash hasła użytkownika może uwierzytelnić się w backendzie Setracker2 i uzyskać pełny dostęp do konta, w tym do danych śledzenia i zarządzania urządzeniami powiązanymi z aplikacją.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecana jest aktualizacja aplikacji do wersji nowszej niż 3.1.5, która powinna implementować bezpieczny mechanizm uwierzytelnienia niepolegający wyłącznie na przekazywaniu hasha hasła.

Kogo dotyczy

Aplikacja Setracker2 na Android (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych.

Uwagi

Podatność sklasyfikowana jako CWE-836 (Use of Password Hash Instead of Password for Authentication). Referencja techniczna pochodzi z repozytorium CSAF CISA (va-26-176-01).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje