Vulnerabilidad 0day de credenciales en texto claro en Vinchin Backup and Recovery
INCIBE-2022-0827
Vinchin Backup and Recovery.
Esjay ha descubierto una vulnerabilidad 0day crítica, publicada por ZDI de Trend Micro, en Backup and Recovery de Vinchin, que podría permitir a un atacante remoto omitir la autenticación del producto afectado.
Esta vulnerabilidad se ha publicado sin un parche de acuerdo con el plazo de 120 días de ZDI.
Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación destacada es restringir la interacción con la aplicación.
La vulnerabilidad se encuentra en la configuración del servidor MySQL al emplear una contraseña en texto claro para el usuario administrador. Un atacante podría aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Se ha asignado el identificador CVE-2022-2139 para esta vulnerabilidad.