Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu BMC Control-M i koordynował proces ujawniania informacji.
Podatność CVE-2024-1604 występuje w module zarządzania i tworzenia raportów. Pozwala ona zalogowanym użytkownikom na odczyt i wprowadzanie nieautoryzowanych zmian w dowolnych raportach dostępnych w aplikacji, choćby bez odpowiednich uprawnień. Osoba atakująca musi znać unikatowy identyfikator raportu, który chce modyfikować. Podatność została usunięta dla gałęzi 9.0.20 w wersji 9.0.20.238, natomiast dla gałęzi 9.0.21 w wersji 9.0.21.201.
Podatność CVE-2024-1605 polega na ładowaniu (po zalogowaniu się użytkownika) wszystkich bibliotek DLL z katalogu, który pozwala na odczyt i zapis wszystkim użytkownikom. Umożliwia to załadowanie i uruchomienie potencjalnie szkodliwych bibliotek. Dla gałęzi 9.0.20 podatność została usunięta w wersji 9.0.20.238, natomiast dla gałęzi 9.0.21 w wersji 9.0.21.201.
Podatność CVE-2024-1606 pozwala na modyfikowanie generowanych stron internetowych poprzez wstrzyknięcie kodu HTML. Może to doprowadzić np. do udanego ataku phishingowego, poprzez nakłonienie użytkowników do użycia hiperłącza wskazującego na witrynę internetową kontrolowaną przez osobę atakującą. Dla gałęzi 9.0.20 podatność została usunięta w wersji 9.0.20.238, natomiast dla gałęzi 9.0.21 w wersji 9.0.21.200.
Podziękowania
Za zgłoszenie podatności dziękujemy Maksymilianowi Kubiakowi oraz Dawidowi Małeckiemu z firmy AFINE.
