PT-2024-19934 · Hcl · Hcl Bigfix Compliance
Gina Wong-Moe
+1
·
Publicado
2024-05-07
·
Atualizado
2024-05-08
·
CVE-2024-23551
CVSS v3.1
6.5
Média
| Vetor | AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
HCL BigFix Compliance, versões 9.x a 11.x
Descrição
A verificação do banco de dados usando um
nome de usuário e uma senha armazena as credenciais em texto simples ou em formato codificado dentro de arquivos no terminal. Isso foi identificado como um risco de segurança significativo, levando à exposição de informações confidenciais a acesso não autorizado, o que pode resultar em consequências graves, como violações de dados, manipulação não autorizada de dados e comprometimento da integridade do sistema.Recomendações
Para as versões 9.x a 11.x, considere desativar a verificação de banco de dados usando nome de usuário e senha até que um patch esteja disponível. Restrinja o acesso a arquivos confidenciais no terminal para minimizar o risco de exploração. Evite usar texto simples ou formato codificado para armazenar credenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hcl Bigfix Compliance