Podatności w oprogramowaniu CemiPark

cert.pl 7 miesięcy temu

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu CemiPark i koordynował proces ujawniania informacji.

Podatność CVE-2024-4423 umożliwia umożliwia pominięcie procesu uwierzytelnienia z uwagi na nieodpowiednią walidację danych wprowadzonych przez użytkownika. Atakujący, który posiada dostęp sieciowy do panelu logowania, może zalogować się z uprawnieniami administratora aplikacji.

Podatność CVE-2024-4424 polega na nieodpowiedniej walidacji danych wprowadzonych przez użytkownika, co umożliwia atak typu Stored Cross-Site Scripting. Atakujący posiadający uprawnienia administratora, może utworzyć stronę z kodem, który wykona się w momencie otworzenia strony przez innego administratora.

Podatność CVE-2024-4425 polega na przechowywaniu poświadczeń do zewnętrznych usług (np. FTP, SIP) czystym tekstem. Atakujący, który uzyskał nieautoryzowany dostęp do urządzenia może je odczytać.

Powyższe podatności dotyczą systemu CemiPark w wersjach 4.5, 4.7, 5.03 (które były testowane przez znalazcę) i potencjalnie innych. Producent odmówił podania dokładnego zakresu wersji podatnego oprogramowania.

Podziękowania

Za zgłoszenie podatności dziękujemy Dariuszowi Gońda.

Idź do oryginalnego materiału