Katalog CVE

CVE-2026-49201

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Program upload.cgi, odpowiedzialny za przetwarzanie kopii zapasowych urządzeń, zawiera wbudowany klucz szyfrowania AES. Umożliwia to atakującemu odszyfrowanie, modyfikację i ponowne zaszyfrowanie kopii zapasowych systemu, co ułatwia wprowadzenie trwałego tylnego wejścia.

Ocena ryzyka

Organizacja jest narażona na ryzyko wprowadzenia trwałego dostępu do systemu przez atakującego, co może prowadzić do utraty danych i naruszenia bezpieczeństwa.

Rekomendacja

Zaleca się usunięcie wbudowanego klucza szyfrowania oraz wdrożenie bezpieczniejszych metod zarządzania kluczami szyfrowania w procesie tworzenia kopii zapasowych.

Oryginalny opis (angielski, źródło NVD)

The upload.cgi binary, responsible for processing device backups, contains a hardcoded AES encryption key. This allows an attacker to decrypt, modify, and re-encrypt system backups, facilitating persistent backdoor injection.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS