PT-2025-52456 · Unknown · Turms Server
Xzzz111
·
Publicado
2025-12-19
·
Atualizado
2026-01-02
·
CVE-2025-66910
CVSS v3.1
6.0
Média
| Vetor | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Turms Server anteriores a 0.10.0-SNAPSHOT
Descrição
O software armazena senhas de administrador em texto simples na memória, especificamente no campo
rawPassword dos objetos AdminInfo, para melhorar a velocidade de autenticação. Isso contorna a proteção bcrypt normalmente utilizada. Um invasor com acesso local ao sistema poderia obter essas senhas por meio de métodos como dumps de memória ou análise de heap.Recomendações
Atualize para uma versão superior a 0.10.0-SNAPSHOT.
Exploit
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Turms Server