CVE-2026-23781
KrytyczneStreszczenie
W aplikacji BMC Control-M/MFT w wersjach od 9.0.20 do 9.0.22 odkryto problem związany z twardo zakodowanymi domyślnymi danymi logowania użytkownika debugowania w postaci niezaszyfrowanej. Pozostawienie tych danych bez zmian może umożliwić nieautoryzowany dostęp do interfejsu debugowania API MFT.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do krytycznych funkcji aplikacji, co może prowadzić do wycieku danych lub manipulacji systemem. Wykorzystanie tych domyślnych danych logowania może umożliwić atakującym przejęcie kontroli nad interfejsem debugowania.
Rekomendacja
Zaleca się natychmiastową zmianę domyślnych danych logowania użytkownika debugowania oraz wdrożenie silnych polityk haseł. Należy również przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych luk.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. A set of default debug user credentials is hardcoded in cleartext within the application package. If left unchanged, these credentials can be easily obtained and may allow unauthorized access to the MFT API debug interface.

