CVE-2025-26849

CVSS 4.3 MEDIUMEPSS 0.2%CWE-1394

Em resumo

O Docusnap usa uma chave de criptografia fixa no seu código que pode ser usada para descriptografar arquivos de inventário contendo dados sensíveis como regras de firewall. Qualquer pessoa com acesso ao software consegue descriptografar esses arquivos sem autorização.

Detalhe técnico

Vulnerabilidade CWE-1394 de chave criptográfica codificada no Docusnap permite que atacantes com acesso a arquivos de inventário criptografados descriptografem dados sensíveis de configuração (regras de firewall, etc.) usando a chave embutida. Não há necessidade de bypass de autenticação se o arquivo criptografado for acessível; o impacto é a confidencialidade das informações sensíveis armazenadas.

Resumo gerado e traduzido por IA a partir da descrição oficial.

There is a Hard-coded Cryptographic Key in Docusnap 13.0.1440.24261, and earlier and later versions. This key can be used to decrypt inventory files that contain sensitive information such as firewall rules.

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N

Produtos afetados

Docusnap · Docusnap

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://docs.docusnap.com/en/release-notes/changelog/https://www.redteam-pentesting.de/en/advisories/rt-sa-2024-012/