CVE-2026-23781: Hardcoded Credentials in BMC Control-M/MFT
平台
other
组件
bmc-control-m-mft
修复版本
9.0.22-025
CVE-2026-23781 is a critical vulnerability affecting BMC Control-M/MFT versions 9.0.20 through 9.0.22. The vulnerability stems from the hardcoding of default debug user credentials in cleartext within the application package. This allows attackers with access to the application package to easily obtain these credentials and potentially gain unauthorized access to the MFT API debug interface. A fix is available in version 9.0.22-025.
影响与攻击场景
CVE-2026-23781 影响 BMC Control-M/MFT 的 9.0.20 到 9.0.22 版本。该漏洞在于应用程序包中以明文形式硬编码了默认调试用户凭据。如果这些凭据未更改,攻击者可以轻松获取它们,并可能未经授权访问 MFT API 调试接口。这可能允许未经授权访问敏感数据、操纵配置,甚至在受影响的系统上执行恶意代码。由于易于利用以及对数据机密性、完整性和可用性的潜在影响,因此此漏洞的严重程度很高。
利用背景
利用此漏洞相对简单。攻击者只需要访问应用程序包即可提取默认凭据。一旦获得这些凭据,他们就可以使用它们来对 MFT API 调试接口进行身份验证。访问此接口允许攻击者检查和可能修改系统配置、访问敏感数据并执行其他恶意操作。由于调试接口缺乏适当的身份验证,因此此漏洞特别危险。
威胁情报
漏洞利用状态
EPSS
0.07% (20% 百分位)
受影响的软件
时间线
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
减轻 CVE-2026-23781 的解决方案是将 BMC Control-M/MFT 更新到 9.0.22-025 或更高版本。此更新删除了默认调试凭据,并强制用户配置自己的安全凭据。此外,定期审查和审核系统安全配置,包括用户管理和权限至关重要。实施强大的密码策略并尽可能启用多因素身份验证 (MFA) 非常重要。监控系统日志以查找可疑活动也有助于检测和响应潜在攻击。
修复方法翻译中…
Actualice BMC Control-M/MFT a la versión 9.0.22-025 o posterior para mitigar este riesgo. Verifique que las credenciales de depuración predeterminadas hayan sido cambiadas o eliminadas después de la instalación inicial. Consulte la documentación de BMC para obtener instrucciones detalladas sobre cómo aplicar el parche y gestionar las credenciales de depuración.
常见问题
CVE-2026-23781 是什么 — BMC Control-M/MFT 中的漏洞?
9.0.20、9.0.21 和 9.0.22 版本受到 CVE-2026-23781 的影响。
BMC Control-M/MFT 中的 CVE-2026-23781 是否会影响我?
请参阅 BMC 文档或 Control-M/MFT 管理界面以检查已安装的版本。
如何修复 BMC Control-M/MFT 中的 CVE-2026-23781?
作为临时措施,请考虑在应用更新之前禁用 MFT API 调试接口。
CVE-2026-23781 是否正在被积极利用?
BMC 可能会提供工具或脚本来帮助识别环境中默认凭据的存在。
在哪里可以找到 BMC Control-M/MFT 关于 CVE-2026-23781 的官方安全通告?
实施强大的密码策略、多因素身份验证,并定期审查系统日志。
立即试用 — 无需账户
上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。
拖放您的依赖文件
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...