W serwerze Gallagher Command Centre dane uwierzytelniające używane do integracji z zewnętrznymi rejestratorami DVR są niedostatecznie chronione. Uwierzytelniony, ale nieuprawiony użytkownik może uzyskać do nich dostęp, co stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury fizycznej.
▸ Pokaż oryginał (EN)
Insufficiently protected credentials (CWE-522) for third party DVR integrations to the Command Centre Server are accessible to authenticated but unprivileged users. This issue affects: Gallagher Command Centre 9.00 prior to vEL9.00.1774 (MR2), 8.90 prior to vEL8.90.1751 (MR3), 8.80 prior to vEL8.80.1526 (MR4), 8.70 prior to vEL8.70.2526 (MR6), all version of 8.60 and prior.
Podatność wynika z niewystarczającej ochrony przechowywanych lub przesyłanych danych uwierzytelniających (CWE-522) stosowanych w integracjach z zewnętrznymi systemami DVR. Zalogowany użytkownik bez przydzielonych uprawnień administracyjnych może odczytać te poświadczenia za pośrednictwem serwera Command Centre. Dostęp do tych danych jest możliwy zdalnie poprzez sieć, bez konieczności podwyższonych uprawnień po stronie atakującego.
Atakujący posiadający dowolne konto w systemie może uzyskać dane uwierzytelniające do systemów DVR, co może umożliwić nieuprawniony dostęp do podglądu kamer oraz dalsze działania w obrębie infrastruktury fizycznego bezpieczeństwa. Potencjalne skutki obejmują naruszenie poufności, a w ograniczonym stopniu również integralności i dostępności zasobów.
Należy zaktualizować Gallagher Command Centre do następujących wersji: 9.00 vEL9.00.1774 (MR2) lub nowszej, 8.90 vEL8.90.1751 (MR3) lub nowszej, 8.80 vEL8.80.1526 (MR4) lub nowszej, 8.70 vEL8.70.2526 (MR6) lub nowszej. Dla wersji 8.60 i wcześniejszych — konieczna migracja do wspieranej wersji z dostępnym patchem.
Gallagher Command Centre w wersjach: 9.00 przed vEL9.00.1774 (MR2), 8.90 przed vEL8.90.1751 (MR3), 8.80 przed vEL8.80.1526 (MR4), 8.70 przed vEL8.70.2526 (MR6) oraz wszystkie wersje 8.60 i wcześniejsze.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:LGallagher Command Centre
APPGallagher≤ 8.608.70 – 8.70.2526 (bez)8.80 – 8.80.1526 (bez)8.90 – 8.90.1751 (bez)9.00 – 9.00.1774 (bez)
Powiązane podatności
A SQL Injection vulnerability in the OPCUA interface of Gallagher Command Centre allows a remote unprivileged ...
Improper Authorization vulnerability in Gallagher Command Centre Server allows command line macros to be modif...
It is possible to enumerate access card credentials via an unauthenticated network connection to the server in...
In Gallagher Command Centre versions 8.10 prior to 8.10.1134(MR4), 8.00 prior to 8.00.1161(MR5), 7.90 prior to...
An issue was discovered in Gallagher Command Centre 8.10 before 8.10.1092(MR2). Upon an upgrade, if a custom s...