CRITICAL🇬🇧 English

CVE-2024-23619

Zakodowane na stałe dane uwierzytelniające w IBM Merge Healthcare eFilm Workstation

CVSS 9.8v3.1pub. 2024-01-26upd. 2024-11-21

W oprogramowaniu IBM Merge Healthcare eFilm Workstation odkryto krytyczną podatność polegającą na obecności zakodowanych na stałe w kodzie danych uwierzytelniających (hardcoded credentials). Zdalne, nieuwierzytelnione ataki mogą prowadzić do ujawnienia informacji lub wykonania dowolnego kodu na podatnym systemie.

Pokaż oryginał (EN)

A hardcoded credential vulnerability exists in IBM Merge Healthcare eFilm Workstation. A remote, unauthenticated attacker can exploit this vulnerability to achieve information disclosure or remote code execution.

🤖 Analiza AI
Jak działa

Podatność wynika z obecności statycznych, niezmienianych danych uwierzytelniających wbudowanych bezpośrednio w kod aplikacji (CWE-798). Atakujący, który pozna lub odgadnie te dane, może uzyskać dostęp do systemu bez żadnej autoryzacji ze strony użytkownika ani wymogu posiadania istniejącego konta. Ze względu na sieciowy wektor ataku (AV:N) i brak wymagań wstępnych (PR:N, AC:L, UI:N), exploitacja jest możliwa zdalnie i nie wymaga interakcji z użytkownikiem.

Skutki

Atakujący może uzyskać nieuprawniony dostęp do chronionych zasobów systemu, co prowadzi do ujawnienia poufnych danych medycznych lub pełnego przejęcia kontroli nad systemem poprzez zdalne wykonanie kodu (RCE).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do stacji roboczych eFilm Workstation za pomocą firewall oraz monitorowanie ruchu sieciowego pod kątem nieautoryzowanych prób dostępu do czasu wdrożenia poprawki.

Kogo dotyczy

IBM Merge Healthcare eFilm Workstation — wersje wskazane w referencjach producenta

Uwagi

Szczegółowy opis techniczny podatności opublikowany został przez Exodus Intel w dniu 25 stycznia 2024 r. pod adresem blog.exodusintel.com. Produkt stosowany jest w środowiskach medycznych, co może implikować szczególną wrażliwość przetwarzanych danych (dane pacjentów, obrazowanie medyczne).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • IBM Merge Efilm Workstation

    APP
    Ibm
    ≤ 4.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-23621CRITICAL10.0PL ✓ten sam produkt

Buffer overflow w serwerze licencji IBM Merge Healthcare eFilm Workstation — RCE

CVE-2024-23622CRITICAL10.0PL ✓ten sam produkt

Stack-based buffer overflow w IBM Merge Healthcare eFilm Workstation — RCE jako SYSTEM

CVE-2024-23620HIGH8.8ten sam produkt

An improper privilege management vulnerability exists in IBM Merge Healthcare eFilm Workstation. A local, auth...

CVE-2022-47986CRITICAL9.8⚠ KEVten sam vendor

IBM Aspera Faspex 4.4.2 Patch Level 1 and earlier could allow a remote attacker to execute arbitrary code on t...

CVE-2020-4427CRITICAL9.8⚠ KEVten sam vendor

IBM Data Risk Manager 2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5, and 2.0.6 could allow a remote attacker to bypass sec...