Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu SIMPLE.ERP i koordynował proces ujawniania informacji.
Podatność CVE-2024-8773 pozwala na obniżenie wersji protokołu MS SQL do postaci niezaszyfrowanej. Aplikacja akceptuje żądania downgrade protokołu nadchodzące ze strony serwera, co umożliwia podsłuchanie i modyfikację komunikacji w przypadku ataku "Man in the middle" podszywającego się pod adekwatny serwer.
Podatność CVE-2024-8774 polega na przechowywaniu poświadczeń specjalnego konta administratora w sposób odwracalny. Możliwe jest w ten sposób eskalowanie uprawnień do administratora bazy danych przez dowolnego użytkownika systemu.
Powyższe podatności dotyczą SIMPLE.ERP w wersji od 6.20 do 6.30. Wersja 6.30@a03.9 usuwa obie podatności, w tym umożliwia wymuszenie przez administratora szyfrowanej komunikacji, podczas gdy wersje 6.20 oraz 6.25 pozostają bez wsparcia producenta i odpowiednich aktualizacji bezpieczeństwa.
Podziękowania
Za zgłoszenie podatności dziękujemy dr. inż. Marcinowi Ochabowi.
