CRITICAL✓ PATCH🇬🇧 English

CVE-2023-49231

Authentication bypass w Stilog Visual Planning 8 — nieautoryzowany token API

CVSS 9.8v3.1pub. 2024-03-29upd. 2026-04-15

W aplikacji Stilog Visual Planning 8 wykryto krytyczną podatność typu authentication bypass, która umożliwia nieuwierzytelnionemu atakującemu uzyskanie administracyjnego tokenu API. Przejęcie tokenu administratora pozwala na pełną kompromitację systemu bez konieczności posiadania jakichkolwiek poświadczeń.

Pokaż oryginał (EN)

An authentication bypass vulnerability was found in Stilog Visual Planning 8. It allows an unauthenticated attacker to receive an administrative API token.

🤖 Analiza AI
Jak działa

Podatność (CWE-294 — Authentication Bypass by Capture-replay) polega na możliwości ominięcia mechanizmu uwierzytelnienia w interfejsie API aplikacji. Nieautoryzowany atakujący może wysłać odpowiednio spreparowane żądanie sieciowe i w odpowiedzi otrzymać administracyjny token API. Uzyskany token uprawnia do wykonywania operacji zarezerwowanych wyłącznie dla administratorów systemu.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do API aplikacji, co umożliwia odczyt i modyfikację danych, a także potencjalnie przejęcie kontroli nad całą instancją Visual Planning 8.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacje dostępne są pod adresem https://www.visual-planning.com/en/support-portal/updates

Kogo dotyczy

Stilog Visual Planning 8

Uwagi

Szczegółowe informacje techniczne zostały opublikowane przez firmę Schutzwerk w ramach advisories SCHUTZWERK-SA-2023-003 oraz ujawnione w ramach full disclosure na liście seclists.org w kwietniu 2024 r.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje