PT-2022-6464 · Mgt Commerce · Mgt-Commerce Cloudpanel
Tod Beardsley
·
Publicado
2022-12-12
·
Atualizado
2023-03-27
·
CVE-2023-0391
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MGT-COMMERCE CloudPanel versão 2.2.0
Descrição
O problema está relacionado ao uso de um certificado SSL estático com uma chave criptográfica codificada no código-fonte do MGT-COMMERCE CloudPanel, que é compartilhada entre todas as instalações. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. O comportamento foi observado na versão 2.2.0, e não há indícios de que tenha sido corrigido na versão 2.2.1.
Recomendações
Para a versão 2.2.0, considere desativar o uso do certificado SSL estático até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mgt-Commerce Cloudpanel