CRITICAL🇬🇧 English

CVE-2024-21815

Gallagher Command Centre: niechronione dane uwierzytelniające integracji DVR

CVSS 9.1v3.1pub. 2024-03-05upd. 2025-02-10

W serwerze Gallagher Command Centre dane uwierzytelniające używane do integracji z zewnętrznymi rejestratorami DVR są niedostatecznie chronione. Uwierzytelniony, ale nieuprawiony użytkownik może uzyskać do nich dostęp, co stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury fizycznej.

Pokaż oryginał (EN)

Insufficiently protected credentials (CWE-522) for third party DVR integrations to the Command Centre Server are accessible to authenticated but unprivileged users. This issue affects: Gallagher Command Centre 9.00 prior to vEL9.00.1774 (MR2), 8.90 prior to vEL8.90.1751 (MR3), 8.80 prior to vEL8.80.1526 (MR4), 8.70 prior to vEL8.70.2526 (MR6),  all version of 8.60 and prior.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej ochrony przechowywanych lub przesyłanych danych uwierzytelniających (CWE-522) stosowanych w integracjach z zewnętrznymi systemami DVR. Zalogowany użytkownik bez przydzielonych uprawnień administracyjnych może odczytać te poświadczenia za pośrednictwem serwera Command Centre. Dostęp do tych danych jest możliwy zdalnie poprzez sieć, bez konieczności podwyższonych uprawnień po stronie atakującego.

Skutki

Atakujący posiadający dowolne konto w systemie może uzyskać dane uwierzytelniające do systemów DVR, co może umożliwić nieuprawniony dostęp do podglądu kamer oraz dalsze działania w obrębie infrastruktury fizycznego bezpieczeństwa. Potencjalne skutki obejmują naruszenie poufności, a w ograniczonym stopniu również integralności i dostępności zasobów.

Mitygacja

Należy zaktualizować Gallagher Command Centre do następujących wersji: 9.00 vEL9.00.1774 (MR2) lub nowszej, 8.90 vEL8.90.1751 (MR3) lub nowszej, 8.80 vEL8.80.1526 (MR4) lub nowszej, 8.70 vEL8.70.2526 (MR6) lub nowszej. Dla wersji 8.60 i wcześniejszych — konieczna migracja do wspieranej wersji z dostępnym patchem.

Kogo dotyczy

Gallagher Command Centre w wersjach: 9.00 przed vEL9.00.1774 (MR2), 8.90 przed vEL8.90.1751 (MR3), 8.80 przed vEL8.80.1526 (MR4), 8.70 przed vEL8.70.2526 (MR6) oraz wszystkie wersje 8.60 i wcześniejsze.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
  • Gallagher Command Centre

    APP
    Gallagher
    ≤ 8.608.70 – 8.70.2526 (bez)8.80 – 8.80.1526 (bez)8.90 – 8.90.1751 (bez)9.00 – 9.00.1774 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2021-23230CRITICAL9.9ten sam produkt

A SQL Injection vulnerability in the OPCUA interface of Gallagher Command Centre allows a remote unprivileged ...

CVE-2021-23140CRITICAL9.9ten sam produkt

Improper Authorization vulnerability in Gallagher Command Centre Server allows command line macros to be modif...

CVE-2020-16098CRITICAL9.8ten sam produkt

It is possible to enumerate access card credentials via an unauthenticated network connection to the server in...

CVE-2020-16096CRITICAL9.9ten sam produkt

In Gallagher Command Centre versions 8.10 prior to 8.10.1134(MR4), 8.00 prior to 8.00.1161(MR5), 7.90 prior to...

CVE-2019-15294CRITICAL9.8ten sam produkt

An issue was discovered in Gallagher Command Centre 8.10 before 8.10.1092(MR2). Upon an upgrade, if a custom s...