CVE-2026-23781: Hardcoded Credentials in BMC Control-M/MFT
प्लेटफ़ॉर्म
other
घटक
bmc-control-m-mft
में ठीक किया गया
9.0.22-025
CVE-2026-23781 is a critical vulnerability affecting BMC Control-M/MFT versions 9.0.20 through 9.0.22. The vulnerability stems from the hardcoding of default debug user credentials in cleartext within the application package. This allows attackers with access to the application package to easily obtain these credentials and potentially gain unauthorized access to the MFT API debug interface. A fix is available in version 9.0.22-025.
प्रभाव और हमले की स्थितियाँ
CVE-2026-23781 BMC Control-M/MFT के संस्करण 9.0.20 से 9.0.22 को प्रभावित करता है। यह भेद्यता एप्लिकेशन पैकेज के भीतर सादे पाठ में डिफ़ॉल्ट डिबग उपयोगकर्ता क्रेडेंशियल्स को हार्डकोड करने में निहित है। यदि इन क्रेडेंशियल्स को अपरिवर्तित छोड़ दिया जाता है, तो एक हमलावर उन्हें आसानी से प्राप्त कर सकता है और MFT API डिबग इंटरफ़ेस तक अनधिकृत पहुंच प्राप्त करने का प्रयास कर सकता है। इससे संवेदनशील डेटा तक अनधिकृत पहुंच, कॉन्फ़िगरेशन में हेरफेर या प्रभावित सिस्टम पर दुर्भावनापूर्ण कोड का निष्पादन हो सकता है। इस भेद्यता की गंभीरता उच्च है क्योंकि इसका शोषण करना आसान है और डेटा की गोपनीयता, अखंडता और उपलब्धता पर संभावित प्रभाव पड़ता है।
शोषण संदर्भ
इस भेद्यता का शोषण करना अपेक्षाकृत आसान है। एक हमलावर को केवल एप्लिकेशन पैकेज तक पहुंच की आवश्यकता होती है ताकि डिफ़ॉल्ट क्रेडेंशियल्स निकाले जा सकें। एक बार जब ये प्राप्त हो जाते हैं, तो वे उनका उपयोग MFT API डिबग इंटरफ़ेस पर प्रमाणित करने के लिए कर सकते हैं। इस इंटरफ़ेस तक पहुंच हमलावर को सिस्टम कॉन्फ़िगरेशन का निरीक्षण और संभावित रूप से संशोधित करने, संवेदनशील डेटा तक पहुंचने और अन्य दुर्भावनापूर्ण क्रियाएं करने की अनुमति देती है। डिबग इंटरफ़ेस पर उचित प्रमाणीकरण की कमी इस भेद्यता को विशेष रूप से खतरनाक बनाती है।
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.07% (20% शतमक)
प्रभावित सॉफ्टवेयर
समयरेखा
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2026-23781 को कम करने का समाधान BMC Control-M/MFT को संस्करण 9.0.22-025 या उच्चतर में अपडेट करना है। यह अपडेट डिफ़ॉल्ट डिबग क्रेडेंशियल्स को हटा देता है और उपयोगकर्ताओं को अपने स्वयं के सुरक्षित क्रेडेंशियल्स कॉन्फ़िगर करने के लिए मजबूर करता है। इसके अतिरिक्त, उपयोगकर्ता प्रबंधन और अनुमतियों सहित सिस्टम सुरक्षा कॉन्फ़िगरेशन की नियमित रूप से समीक्षा और ऑडिट करना महत्वपूर्ण है। मजबूत पासवर्ड नीतियों को लागू करना और जहां भी संभव हो बहु-कारक प्रमाणीकरण (MFA) को सक्षम करना महत्वपूर्ण है। संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी संभावित हमलों का पता लगाने और उनका जवाब देने में भी मदद कर सकती है।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice BMC Control-M/MFT a la versión 9.0.22-025 o posterior para mitigar este riesgo. Verifique que las credenciales de depuración predeterminadas hayan sido cambiadas o eliminadas después de la instalación inicial. Consulte la documentación de BMC para obtener instrucciones detalladas sobre cómo aplicar el parche y gestionar las credenciales de depuración.
अक्सर पूछे जाने वाले सवाल
CVE-2026-23781 क्या है — BMC Control-M/MFT में?
संस्करण 9.0.20, 9.0.21 और 9.0.22 CVE-2026-23781 से प्रभावित हैं।
क्या मैं BMC Control-M/MFT में CVE-2026-23781 से प्रभावित हूं?
BMC दस्तावेज़ या Control-M/MFT प्रबंधन इंटरफ़ेस से परामर्श करके स्थापित संस्करण की जांच करें।
BMC Control-M/MFT में CVE-2026-23781 को कैसे ठीक करें?
एक अस्थायी उपाय के रूप में, अपडेट लागू करने तक MFT API डिबग इंटरफ़ेस को अक्षम करने पर विचार करें।
क्या CVE-2026-23781 का सक्रिय रूप से शोषण किया जा रहा है?
BMC आपके वातावरण में डिफ़ॉल्ट क्रेडेंशियल्स की उपस्थिति की पहचान करने में मदद करने के लिए उपकरण या स्क्रिप्ट प्रदान कर सकता है।
CVE-2026-23781 के लिए BMC Control-M/MFT का आधिकारिक सुरक्षा सलाह कहां मिलेगी?
मजबूत पासवर्ड नीतियों को लागू करें, बहु-कारक प्रमाणीकरण और सिस्टम लॉग की नियमित रूप से समीक्षा करें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अभी आज़माएँ — no खाता
scanZone.subtitle
अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...