Проблема была обнаружена в BMC Control-M/MFT версий с 9.0.20 по 9.0.22. Конечная точка управления API позволяет неаутентифицированным пользователям получать как идентификатор API, так и соответствующее ему секретное значение. Благодаря этим раскрытым секретам злоумышленник может вызвать привилегированные операции API, что потенциально может привести к несанкционированному доступу.
Показать оригинальное описание (EN)
An issue was discovered in BMC Control-M/MFT 9.0.20 through 9.0.22. An API management endpoint allows unauthenticated users to obtain both an API identifier and its corresponding secret value. With these exposed secrets, an attacker could invoke privileged API operations, potentially leading to unauthorized access.