Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu SUR-FBD CMMS i koordynował proces ujawniania informacji.
W oprogramowaniu SUR-FBD CMMS ujawniono podatność CVE-2025-3920 polegającą na umieszczeniu w pliku DLL poświadczeń do wbudowanego konta administratora. Atakujący z lokalnym dostępem do systemu bądź katalogu w którym aplikacja została zainstalowana mógł pozyskać te poświadczenia, co mogło prowadzić do uzyskania dostępu do aplikacji na poziomie administratora. Łatka naprawcza eliminująca tę podatność została opublikowana w wersji 2025.03.27.
Podziękowania
Za zgłoszenie podatności dziękujemy Thomasowi Hayen (Easi).