Доставчикът на решения за киберсигурност Fortra обяви тази седмица кръпки за две уязвимости във FileCatalyst Workflow, включително недостатък с критична тежест, включващ изтекли пълномощия.
Проблемът от критична важност, проследен като CVE-2024-6633 (CVSS оценка 9,8), съществува, тъй като идентификационните данни по подразбиране за настройката на базата данни HSQL (HSQLDB) са публикувани в статия от базата данни на доставчика.
Според компанията HSQLDB, която е изчерпана, е включена, за да улесни инсталацията, и не е предназначена за производствена употреба. Ако обаче не е конфигурирана алтернативна база данни, HSQLDB може да изложи уязвимите екземпляри на FileCatalyst Workflow на атаки.
Fortra, която препоръчва да не се използва включената в пакета база данни HSQL, отбелязва, че CVE-2024-6633 може да се използва само ако нападателят има достъп до мрежата и сканирането на портовете и ако портът на HSQLDB е открит в интернет.
„Атаката предоставя на неавтентифициран нападател отдалечен достъп до базата данни, включително манипулиране/ексфилтриране на данни от базата данни и създаване на администраторски потребители, въпреки че техните нива на достъп все още са ограничени“, отбелязва Fortra.
Компанията е отстранила уязвимостта, като е ограничила достъпа до базата данни до localhost. Пачовете са включени във версия 5.1.7 build 156 на FileCatalyst Workflow, която също така разрешава недостатък с висока степен на опасност за SQL инжекция, проследен като CVE-2024-6632.
„Във FileCatalyst Workflow съществува уязвимост, при която поле, достъпно за супер администратора, може да бъде използвано за извършване на атака с инжектиране на SQL, което може да доведе до загуба на поверителност, цялостност и наличност“, обяснява Fortra.
Компанията също така отбелязва, че тъй като FileCatalyst Workflow има само един супер администратор, атакуващ, който притежава идентификационните данни, може да извърши по-опасни операции от SQL инжекцията.
На клиентите на Fortra се препоръчва да актуализират до FileCatalyst Workflow версия 5.1.7 build 156 или по-нова възможно най-скоро. Компанията не споменава, че някоя от тези уязвимости е била използвана при атаки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.