Использование жестко запрограммированных учетных данных в Klinika XP и KlinikaXP Insertino позволило несанкционированному злоумышленнику получить доступ к нескольким внутренним сервисам. Что особенно важно, это включало доступ к FTP-серверу, на котором размещались пакеты обновлений приложения. Злоумышленник с этими учетными данными может загрузить вредоносный файл обновления, который затем может быть распространен и установлен на клиентских компьютерах как законное обновление.
Эта проблема затрагивает KlinikaXP: до версии 5.39.01.01. и KlinikaXP Insertino до версии 3.1.0.1
Помимо удаления жестко запрограммированных учетных данных из кода, ранее открытые учетные данные также были заменены, предотвращая дальнейшие попытки атак.
Показать оригинальное описание (EN)
Use of hard-coded credentials in Klinika XP and KlinikaXP Insertino allowed an unauthorized attacker access to several internal services. Critically, this included access to the FTP server that hosted the application's update packages. The attacker with these credentials could upload a malicious update file, which then may have been distributed and installed on client machines as a legitimate update. This issue affects KlinikaXP: before 5.39.01.01. and KlinikaXP Insertino before 3.1.0.1 Beside removing the hardcoded credentials from the code, previously exposed credentials were also rotated preventing further attack attempts.
Характеристики атаки
Последствия
Строка CVSS v4.0