Podatności w oprogramowaniu Proget

cert.pl 19 godzin temu

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Konsola Proget (część serwerowa pakietu MDM) i koordynował proces ujawniania informacji.

Podatność CVE-2025-1415: Użytkownik z niskimi uprawnieniami może uzyskać informacje o zadaniach wykonywanych na urządzeniach zarządzanych przez Proget MDM, a także szczegóły dotyczące tych urządzeń, takie jak ich UUID, które są niezbędne do wykorzystania podatności CVE-2025-1416.
Aby przeprowadzić atak, konieczna jest znajomość task_id, jednak ponieważ są to zwykle niskie liczby całkowite i nie ma limitu zapytań kierowanych do podatnego endpointu, task_id może zostać łatwo odgadnięte metodą brute force.

Podatność CVE-2025-1416: Użytkownik z niskimi uprawnieniami może pobrać hasła do zarządzanych urządzeń i następnie korzystać z funkcji ograniczonych przez MDM. Aby to było możliwe, musi znać UUID docelowych urządzeń, które mogą zostać pozyskane przez wykorzystanie CVE-2025-1415 lub CVE-2025-1417.

Podatność CVE-2025-1417: Użytkownik z niskimi uprawnieniami może uzyskać dostęp do informacji o zmianach zawartych w kopiach zapasowych wszystkich urządzeń zarządzanych przez MDM. Informacje te obejmują identyfikatory użytkowników, adresy e-mail, imiona, nazwiska oraz UUID urządzeń. Te ostatnie mogą zostać wykorzystane do eksploatacji CVE-2025-1416.
Skuteczne wykorzystanie podatności wymaga znajomości UUID konkretnej kopii zapasowej, który nie może zostać odgadnięty metodą brute force.

Podatność CVE-2025-1418: Użytkownik z niskimi uprawnieniami może uzyskać dostęp do informacji o profilach utworzonych w Proget MDM, które zawierają dane dotyczące dozwolonych oraz niedozwolonych funkcji. Profile nie ujawniają żadnych wrażliwych informacji (w tym ich wykorzystania na podłączonych urządzeniach).

Podatność CVE-2025-1419: Dane wprowadzane w sekcji komentarzy Konsoli Proget nie są poprawnie oczyszczane, co pozwala użytkownikowi z wysokimi uprawnieniami przeprowadzić atak Stored Cross-Site Scripting.

Podatność CVE-2025-1420: Dane wprowadzane w polu zawierającym activationMessage w Konsoli Proget nie są poprawnie oczyszczane, co pozwala użytkownikowi z wysokimi uprawnieniami przeprowadzić atak Stored Cross-Site Scripting.

Podatność CVE-2025-1421: Dane przesyłane w żądaniu do serwera podczas aktywacji nowego urządzenia są zapisywane w bazie danych. Inni użytkownicy z wysokimi uprawnieniami mogą pobrać te dane jako plik CSV i narazić swój komputer na infekcję po jego otwarciu w narzędziu takim jak Microsoft Excel. Atakujący może w ten sposób uzyskać zdalny dostęp do komputera ofiary.

Wszystkie wymienione podatności zostały naprawione w wersji 2.17.5 systemu Proget.

Podziękowania

Za zgłoszenie podatności dziękujemy Marcinowi Węgłowskiemu (AFINE).

Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Podatności w oprogramowaniu Proget

Powiązane

Krajobraz zagrożeń 12-18/05/25

Krajobraz zagrożeń 12-18/05/25

1 dzień temu
Europejska inicjatywa dotycząca bazy podatności

Europejska inicjatywa dotycząca bazy podatności

1 dzień temu
Rekordowy DDoS w Polsce

Rekordowy DDoS w Polsce

2 dni temu
Nowe luki w procesorach Intel: powrót do problemów Spectre i Meltdown w nowej odsłonie

Nowe luki w procesorach Intel: powrót do problemów Spectre i...

5 dni temu
Uruchomiono Europejską Bazę Danych Podatności (EUVD)

Uruchomiono Europejską Bazę Danych Podatności (EUVD)

6 dni temu
Podatność w oprogramowaniu EZD RP

Podatność w oprogramowaniu EZD RP

1 tydzień temu
Ujawniono pięć aktywnie wykorzystywanych luk zero-day w systemie Windows

Ujawniono pięć aktywnie wykorzystywanych luk zero-day w syst...

1 tydzień temu
Baza EUVD – nowy rozdział w zarządzaniu cyberzagrożeniami?

Baza EUVD – nowy rozdział w zarządzaniu cyberzagrożeniami?

1 tydzień temu