Gratis scannen
Analyse in behandelingCVE-2026-23781

CVE-2026-23781: Hardcoded Credentials in BMC Control-M/MFT

Platform

other

Component

bmc-control-m-mft

Opgelost in

9.0.22-025

Bekijk op NVD
Opslaan

CVE-2026-23781 beschrijft een kwetsbaarheid in BMC Control-M/MFT versies 9.0.20 tot en met 9.0.22. Deze kwetsbaarheid betreft het hardcoded opslaan van standaard debug gebruikerscredentials in platte tekst binnen het applicatiepakket. Het misbruik van deze credentials kan leiden tot ongeautoriseerde toegang. De kwetsbaarheid is gepubliceerd op 10 april 2026 en is verholpen in versie 9.0.22-025.

Impact en Aanvalsscenarios

Een aanvaller die deze kwetsbaarheid misbruikt, kan ongeautoriseerde toegang verkrijgen tot de MFT API debug interface. Dit stelt de aanvaller in staat om gevoelige informatie te bekijken, configuratie-instellingen te wijzigen en mogelijk de werking van de MFT-service te beïnvloeden. De impact kan variëren afhankelijk van de configuratie van de MFT-omgeving en de privileges die de debug interface toekent. Het is mogelijk dat een aanvaller via deze interface toegang kan krijgen tot andere systemen of data die door de MFT-service worden verwerkt, waardoor de potentiële schade aanzienlijk kan zijn. Hoewel er geen publieke exploitatie is gemeld, is de eenvoudige toegang tot de credentials een significant risico.

Uitbuitingscontext

De kwetsbaarheid is recentelijk gepubliceerd en er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid misbruiken. Er zijn ook geen publieke Proof-of-Concept (POC) exploits beschikbaar. De kwetsbaarheid is opgenomen in de NVD (National Vulnerability Database) en wordt momenteel geëvalueerd op ernst. De EPSS score is nog niet bekend, maar de hardcoded credentials maken het een potentieel hoog risico.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO

EPSS

0.07% (20% percentiel)

Getroffen Software

Componentbmc-control-m-mft
Leveranciern/a
Minimumversie9.0.20
Maximumversien/a
Opgelost in9.0.22-025

Tijdlijn

  1. Gepubliceerd
  2. Gewijzigd
  3. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-23781 is het upgraden van BMC Control-M/MFT naar versie 9.0.22-025 of hoger. Indien een upgrade momenteel niet mogelijk is, is het essentieel om de standaard debug gebruikerscredentials te wijzigen. Dit kan worden gedaan door de configuratiebestanden van de MFT-service te bewerken en nieuwe, sterke credentials in te stellen. Het is ook aan te raden om de toegang tot de debug interface te beperken tot geautoriseerde gebruikers en om de logboeken van de MFT-service te monitoren op verdachte activiteiten. Na de upgrade, controleer de configuratie van de MFT-service om te bevestigen dat de debug interface correct is geconfigureerd en dat de toegang is beperkt tot geautoriseerde gebruikers.

Hoe te verhelpenwordt vertaald…

Actualice BMC Control-M/MFT a la versión 9.0.22-025 o posterior para mitigar este riesgo.  Verifique que las credenciales de depuración predeterminadas hayan sido cambiadas o eliminadas después de la instalación inicial. Consulte la documentación de BMC para obtener instrucciones detalladas sobre cómo aplicar el parche y gestionar las credenciales de depuración.

Veelgestelde vragen

Wat is CVE-2026-23781 — Hardcoded Credentials in BMC Control-M/MFT?

CVE-2026-23781 beschrijft een kwetsbaarheid in BMC Control-M/MFT waarbij standaard debug gebruikerscredentials hardcoded zijn opgeslagen in platte tekst, wat ongeautoriseerde toegang mogelijk maakt.

Am I affected by CVE-2026-23781 in BMC Control-M/MFT?

U bent mogelijk getroffen als u BMC Control-M/MFT gebruikt in versie 9.0.20 tot en met 9.0.22. Controleer uw versie en pas de mitigatie toe.

How do I fix CVE-2026-23781 in BMC Control-M/MFT?

Upgrade naar versie 9.0.22-025 of hoger. Indien een upgrade niet mogelijk is, wijzig dan de standaard debug gebruikerscredentials.

Is CVE-2026-23781 being actively exploited?

Op dit moment zijn er geen bekende actieve campagnes die deze kwetsbaarheid misbruiken, maar de hardcoded credentials vormen een significant risico.

Where can I find the official BMC advisory for CVE-2026-23781?

Raadpleeg de BMC Support Portal voor de officiële advisory en meer informatie over deze kwetsbaarheid: [https://support.bmc.com/](https://support.bmc.com/)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...