Podatność w Vehicle Management System w wersji 7.31.0.3_20230412 umożliwia nieuprzywilejowanemu atakującemu eskalację uprawnień (privilege escalation) za pośrednictwem komponentu login.html. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia, ponieważ atak nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
An issue in Vehicle Management System 7.31.0.3_20230412 allows an attacker to escalate privileges via the login.html component.
Atakujący może wykorzystać podatność w komponencie login.html systemu Vehicle Management System do uzyskania wyższego poziomu uprawnień niż mu przysługuje. Wektor ataku jest sieciowy (AV:N), nie wymaga żadnych uprawnień wstępnych (PR:N) ani interakcji ze strony użytkownika (UI:N), co oznacza, że atak może zostać przeprowadzony zdalnie przez dowolną osobę mającą dostęp do interfejsu webowego systemu.
Skuteczny atak prowadzi do uzyskania przez atakującego podwyższonych uprawnień w systemie, co może skutkować pełnym przejęciem kontroli nad aplikacją, nieautoryzowanym dostępem do danych pojazdów i użytkowników oraz naruszeniem poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu webowego systemu wyłącznie do zaufanych sieci lub adresów IP poprzez firewall bądź mechanizmy kontroli dostępu.
Vehicle Management System w wersji 7.31.0.3_20230412
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H