CRITICAL🇬🇧 English

CVE-2024-3263

Obejście uwierzytelnienia w YMS VIS Pro — podatność na brute force

CVSS 9.8v3.1pub. 2024-05-14upd. 2026-04-15

YMS VIS Pro, system informatyczny dla administracji weterynaryjnej i żywnościowej, zawiera krytyczną podatność wynikającą z wadliwego generowania poświadczeń systemowych i słabej polityki haseł. Umożliwia to atakującemu przeprowadzenie ataku brute force i uzyskanie nieautoryzowanego dostępu do systemu.

Pokaż oryginał (EN)

YMS VIS Pro is an information system for veterinary and food administration, veterinarians and farm. Due to a combination of improper method for system credentials generation and weak password policy, passwords can be easily guessed and enumerated through brute force attacks. Successful attacks can lead to unauthorised access and execution of operations based on assigned user permissions. This vulnerability affects VIS Pro in versions <= 3.3.0.6. This vulnerability has been mitigated by changes in authentication mechanisms and implementation of additional authentication layer and strong password policies.

🤖 Analiza AI
Jak działa

Podatność wynika z połączenia dwóch słabości: nieprawidłowej metody generowania poświadczeń systemowych (CWE-287) oraz słabej polityki haseł (CWE-521). W efekcie hasła do systemu są przewidywalne i mogą być łatwo odgadnięte lub wyliczone za pomocą automatycznych ataków brute force. Nie są wymagane żadne wcześniejsze uprawnienia ani interakcja ze strony użytkownika, a atak może być przeprowadzony zdalnie przez sieć.

Skutki

Skuteczny atak prowadzi do nieautoryzowanego dostępu do systemu i możliwości wykonywania operacji w zakresie uprawnień przypisanych do przejętego konta użytkownika, co może obejmować dostęp do wrażliwych danych weterynaryjnych i administracyjnych.

Mitygacja

Producent załagodził podatność poprzez zmiany w mechanizmach uwierzytelniania, wdrożenie dodatkowej warstwy uwierzytelnienia oraz wprowadzenie silnej polityki haseł. Należy zaktualizować system do wersji nowszej niż 3.3.0.6 oraz zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

YMS VIS Pro w wersjach <= 3.3.0.6

Uwagi

System YMS VIS Pro jest przeznaczony dla administracji weterynaryjnej i żywnościowej, weterynarzy oraz gospodarstw rolnych — potencjalny dostęp do wrażliwych danych sektorowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje