CWE-257: ALMACENAMIENTO DE CONTRASEÑAS EN FORMATO RECUPERABLE
La clave utilizada para cifrar las contraseñas almacenadas en la base de datos se puede encontrar en el código de aplicación, lo que permite recuperar las contraseñas.
La explotación exitosa de estas vulnerabilidades podría hacer que un atacante omita la autenticación y obtenga privilegios de administrador, falsificar tokens JWT para evitar la autenticación, escribir archivos arbitrarios en el servidor y lograr la ejecución del código, obtener acceso a servicios con los privilegios de una aplicación PowerPanel, obtener acceso al servidor de pruebas o producción, aprender contraseñas y autenticar con privilegios de usuario o administrador, inyectar sintaxis SQL, escribir archivos arbitrarios en el sistema, ejecutar código remoto, hacerse pasar por cualquier cliente en el sistema y enviar datos maliciosos, u obtener datos de todo el sistema después de obtener acceso a cualquier dispositivo.
CVE-2024-32042
Ciberenergía
PowerPanel
4.9
Team82 se compromete a informar de manera privada las vulnerabilidades a los proveedores afectados de manera coordinada y oportuna para garantizar la seguridad del ecosistema de ciberseguridad en todo el mundo. Para interactuar con el proveedor y la comunidad de investigación, Team82 lo invita a descargar y compartir nuestra Política de Divulgación Coordinada. Team82 cumplirá con este proceso de informe y divulgación cuando descubramos vulnerabilidades en productos y servicios.
Team82 también ha puesto a disposición su Clave pública de PGP para que el proveedor y la comunidad de investigación intercambien de manera segura la información de vulnerabilidad e investigación con nosotros.
