CWE-259: VERWENDUNG EINES FEST CODIERTEN PASSWORTS
Der Anwendungscode enthält einen fest codierten JWT-Signierschlüssel. Dies könnte dazu führen, dass ein Angreifer JWT-Token fälscht, um die Authentifizierung zu umgehen.
Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte dazu führen, dass ein Angreifer die Authentifizierung umgeht und Administratorrechte erhält. das Fälschen von JWT-Tokens, um die Authentifizierung zu umgehen, das Schreiben beliebiger Dateien auf den Server und das Erreichen der Codeausführung, Zugriff auf Dienste mit den Privilegien einer PowerPanel-Anwendung zu erhalten, Zugriff auf den Test- oder Produktionsserver zu erhalten, Kennwörter lernen und mit Benutzer- oder Administratorrechten authentifizieren, SQL-Syntax injizieren, das Schreiben beliebiger Dateien in das System, Ausführen von Remote-Code, sich als ein Client im System ausgeben und bösartige Daten senden, oder das Erhalten von Daten aus dem gesamten System, nachdem Sie Zugriff auf ein beliebiges Gerät erhalten haben.
CVE-2024-33625
CyberPower
PowerPanel
9.8
Team82 hat sich verpflichtet, die betroffenen Anbieter in einer koordinierten, zeitnahen Weise privat über Schwachstellen zu informieren, um die Sicherheit des Cybersicherheits-Ökosystems weltweit zu gewährleisten. Um mit der Anbieter- und Forschungsgemeinschaft in Kontakt zu treten, lädt Team82 Sie ein, unsere Richtlinie zur koordinierten Offenlegung herunterzuladen und weiterzugeben. Team82 wird diesen Melde- und Offenlegungsprozess einhalten, wenn wir Schwachstellen in Produkten und Dienstleistungen entdecken.
Team82 hat auch seinen öffentlichen PGP-Schlüssel für Anbieter und Forschungsgemeinschaften zur Verfügung gestellt, um Schwachstellen und Forschungsinformationen sicher und sicher mit uns auszutauschen.
