CVE-2026-23781: Hardcoded Credentials in BMC Control-M/MFT
Plataforma
other
Componente
bmc-control-m-mft
Corrigido em
9.0.22-025
CVE-2026-23781 is a critical vulnerability affecting BMC Control-M/MFT versions 9.0.20 through 9.0.22. The vulnerability stems from the hardcoding of default debug user credentials in cleartext within the application package. This allows attackers with access to the application package to easily obtain these credentials and potentially gain unauthorized access to the MFT API debug interface. A fix is available in version 9.0.22-025.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-23781 afeta o BMC Control-M/MFT nas versões 9.0.20 a 9.0.22. O problema reside na inclusão de credenciais de usuário de depuração padrão, codificadas em texto simples, dentro do pacote da aplicação. Se essas credenciais não forem alteradas, um atacante pode obtê-las facilmente e potencialmente obter acesso não autorizado à interface de depuração da API MFT. Isso pode permitir o acesso não autorizado a dados sensíveis, a manipulação de configurações ou até mesmo a execução de código malicioso no sistema afetado. A gravidade desta vulnerabilidade é alta devido à facilidade de exploração e ao potencial impacto na confidencialidade, integridade e disponibilidade dos dados.
Contexto de Exploração
A exploração desta vulnerabilidade é relativamente simples. Um atacante precisa apenas ter acesso ao pacote da aplicação para extrair as credenciais padrão. Uma vez obtidas, ele pode usar essas credenciais para autenticar-se na interface de depuração da API MFT. O acesso a esta interface permite que o atacante inspecione e potencialmente modifique as configurações do sistema, acesse dados sensíveis e execute outras ações maliciosas. A falta de autenticação adequada na interface de depuração torna esta vulnerabilidade particularmente perigosa.
Inteligência de Ameaças
Status do Exploit
EPSS
0.07% (percentil 20%)
Software Afetado
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução para mitigar a CVE-2026-23781 é atualizar o BMC Control-M/MFT para a versão 9.0.22-025 ou superior. Esta atualização remove as credenciais de depuração padrão e força os usuários a configurar suas próprias credenciais seguras. Além disso, revise e audite regularmente as configurações de segurança do sistema, incluindo o gerenciamento de usuários e permissões. É crucial implementar políticas de senhas robustas e habilitar a autenticação multifator (MFA) sempre que possível. Monitorar os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Como corrigirtraduzindo…
Actualice BMC Control-M/MFT a la versión 9.0.22-025 o posterior para mitigar este riesgo. Verifique que las credenciales de depuración predeterminadas hayan sido cambiadas o eliminadas después de la instalación inicial. Consulte la documentación de BMC para obtener instrucciones detalladas sobre cómo aplicar el parche y gestionar las credenciales de depuración.
Perguntas frequentes
O que é CVE-2026-23781 em BMC Control-M/MFT?
As versões 9.0.20, 9.0.21 e 9.0.22 são vulneráveis à CVE-2026-23781.
Estou afetado pelo CVE-2026-23781 no BMC Control-M/MFT?
Consulte a documentação da BMC ou a interface de administração do Control-M/MFT para verificar a versão instalada.
Como corrijo o CVE-2026-23781 no BMC Control-M/MFT?
Como medida temporária, considere desabilitar a interface de depuração da API MFT até que possa aplicar a atualização.
O CVE-2026-23781 está sendo explorado ativamente?
A BMC pode fornecer ferramentas ou scripts para ajudar a identificar a presença de credenciais padrão em seu ambiente.
Onde encontro o aviso oficial do BMC Control-M/MFT para o CVE-2026-23781?
Implemente políticas de senhas robustas, autenticação multifator e revise regularmente os logs do sistema.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...