CRITICAL🇬🇧 English

CVE-2024-1202

Authentication Bypass w XPodas Octopod – brak uwierzytelnienia

CVSS 9.8v3.1pub. 2024-03-21upd. 2026-06-03

Krytyczna podatność w aplikacji XPodas Octopod umożliwia obejście mechanizmu uwierzytelnienia (Authentication Bypass). Jest szczególnie niebezpieczna, ponieważ produkt nie jest już wspierany przez dostawcę i nie można oczekiwać oficjalnego patcha.

Pokaż oryginał (EN)

Authentication Bypass by Primary Weakness vulnerability in XPodas Octopod allows Authentication Bypass. This issue affects Octopod: before v1.  NOTE: The vendor was contacted and it was learned that the product is not supported.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) polega na tym, że atakujący może ominąć podstawowy mechanizm uwierzytelnienia aplikacji bez konieczności posiadania prawidłowych poświadczeń. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika, co oznacza pełną możliwość zdalnego wykorzystania podatności.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do systemu, co w przypadku pełnego zakresu CVSS (C:H/I:H/A:H) oznacza potencjalne przejęcie kontroli nad aplikacją, dostęp do poufnych danych, ich modyfikację oraz zakłócenie dostępności usługi.

Mitygacja

Brak oficjalnego patcha — producent nie wspiera produktu. Zaleca się natychmiastowe wycofanie aplikacji XPodas Octopod z użycia produkcyjnego lub odizolowanie jej od sieci. W przypadku braku możliwości migracji należy wdrożyć kompensujące kontrole dostępu na poziomie sieci (firewall, VPN) oraz przeprowadzić przegląd bezpieczeństwa środowiska, w którym działa aplikacja.

Kogo dotyczy

XPodas Octopod we wszystkich wersjach przed v1. Dostawca potwierdził, że produkt nie jest już wspierany.

Uwagi

Dostawca XPodas został skontaktowany i potwierdził, że produkt nie jest objęty wsparciem technicznym. Podatność zgłoszona przez turecką organizację USOM (Ulusal Siber Olaylara Müdahale Merkezi) pod identyfikatorem TR-24-0174.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje