CWE-259: VERWENDUNG EINES FEST CODIERTEN PASSWORTS
Der Anwendungscode enthält einen fest kodierten Satz von Authentifizierungsdaten. Dies könnte dazu führen, dass ein Angreifer die Authentifizierung umgeht und Administratorrechte erlangt.
Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte dazu führen, dass ein Angreifer die Authentifizierung umgeht und Administratorrechte erlangt, JWT-Tokens fälscht, um die Authentifizierung zu umgehen, beliebige Dateien auf den Server schreibt und die Ausführung von Code erreicht, Zugriff auf Dienste mit den Rechten einer PowerPanel-Anwendung erlangt, Zugriff auf den Test- oder Produktionsserver, Erlernen von Passwörtern und Authentifizierung mit Benutzer- oder Administratorrechten, Einschleusen von SQL-Syntax, Schreiben beliebiger Dateien in das System, Ausführen von Remote-Code, Identifizierung beliebiger Clients im System und Senden bösartiger Daten oder Abrufen von Daten aus dem gesamten System nach Zugriff auf ein beliebiges Gerät.
CVE-2024-34025
CyberPower
PowerPanel
9.8
Team82 setzt sich dafür ein, Schwachstellen koordiniert und zeitnah an die betroffenen Anbieter zu melden, um die Sicherheit des weltweiten Cybersicherheitsökosystems zu gewährleisten. Um mit der Anbieter- und Forschungsgemeinschaft in Kontakt zu treten, lädt Team82 Sie ein, unsere Richtlinie zur koordinierten Offenlegung herunterzuladen und zu teilen. Team82 hält sich an diesen Melde- und Offenlegungsprozess, wenn wir Schwachstellen in Produkten und Dienstleistungen entdecken.
Team82 hat außerdem seinen öffentlichen PGP-Schlüssel für die Anbieter- und Forschungsgemeinschaft zur Verfügung gestellt, damit diese auf sichere Weise Schwachstellen- und Forschungsinformationen mit uns austauschen kann.