Krytyczna podatność w aplikacji XPodas Octopod umożliwia obejście mechanizmu uwierzytelnienia (Authentication Bypass). Jest szczególnie niebezpieczna, ponieważ produkt nie jest już wspierany przez dostawcę i nie można oczekiwać oficjalnego patcha.
▸ Pokaż oryginał (EN)
Authentication Bypass by Primary Weakness vulnerability in XPodas Octopod allows Authentication Bypass. This issue affects Octopod: before v1. NOTE: The vendor was contacted and it was learned that the product is not supported.
Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) polega na tym, że atakujący może ominąć podstawowy mechanizm uwierzytelnienia aplikacji bez konieczności posiadania prawidłowych poświadczeń. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika, co oznacza pełną możliwość zdalnego wykorzystania podatności.
Atakujący może uzyskać nieautoryzowany dostęp do systemu, co w przypadku pełnego zakresu CVSS (C:H/I:H/A:H) oznacza potencjalne przejęcie kontroli nad aplikacją, dostęp do poufnych danych, ich modyfikację oraz zakłócenie dostępności usługi.
Brak oficjalnego patcha — producent nie wspiera produktu. Zaleca się natychmiastowe wycofanie aplikacji XPodas Octopod z użycia produkcyjnego lub odizolowanie jej od sieci. W przypadku braku możliwości migracji należy wdrożyć kompensujące kontrole dostępu na poziomie sieci (firewall, VPN) oraz przeprowadzić przegląd bezpieczeństwa środowiska, w którym działa aplikacja.
XPodas Octopod we wszystkich wersjach przed v1. Dostawca potwierdził, że produkt nie jest już wspierany.
Dostawca XPodas został skontaktowany i potwierdził, że produkt nie jest objęty wsparciem technicznym. Podatność zgłoszona przez turecką organizację USOM (Ulusal Siber Olaylara Müdahale Merkezi) pod identyfikatorem TR-24-0174.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H