CRITICAL🇬🇧 English

CVE-2024-38887

Command Injection w Horizoncloud Caterease — zdalne przejęcie systemu OS

CVSS 9.8v3.1pub. 2024-08-02upd. 2026-07-05

Podatność typu command injection w oprogramowaniu Caterease firmy Horizon Business Services umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie poleceń systemowych z nadmiarowymi uprawnieniami. Krytyczna ocena CVSS 9.8 oznacza, że atak nie wymaga żadnej interakcji użytkownika ani uwierzytelnienia.

Pokaż oryginał (EN)

An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versions, allows a remote attacker to expand control over the operating system from the database due to the execution of commands with unnecessary privileges.

🤖 Analiza AI
Jak działa

Błąd wynika z wykonywania poleceń systemowych z niepotrzebnymi (nadmiarowymi) uprawnieniami w kontekście bazy danych. Atakujący zdalnie, poprzez sieć, może przekazać złośliwe dane wejściowe, które są przekazywane do powłoki systemowej bez odpowiedniej walidacji lub neutralizacji. W rezultacie możliwe jest wyjście poza kontekst bazy danych i przejęcie kontroli nad systemem operacyjnym serwera.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym serwera, na którym działa Caterease, co umożliwia odczyt, modyfikację lub usunięcie danych, a także dalsze działania w infrastrukturze ofiary (lateral movement).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się ograniczenie dostępu sieciowego do serwera Caterease wyłącznie do zaufanych hostów (firewall, segmentacja sieci) oraz przegląd uprawnień, z jakimi działa usługa bazy danych, w celu zastosowania zasady najmniejszych uprawnień.

Kogo dotyczy

Horizoncloud Caterease w wersjach od 16.0.1.1663 do 24.0.1.2405 włącznie, a możliwe że również wersje późniejsze.

Uwagi

Szczegóły techniczne dotyczące podatności (w tym SQL Injection i command injection bypass) zostały opublikowane w serwisie Packet Storm Security (packetstormsecurity.com/files/179892/). Publiczna dostępność materiałów zwiększa ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Horizoncloud Caterease

    APP
    Horizoncloud
    16.0.1.1663 – 24.0.1.2405
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2024-38883CRITICAL9.1PL ✓ten sam produkt

Caterease: obniżenie poziomu szyfrowania przez wybór słabszego algorytmu

CVE-2024-38886CRITICAL9.8PL ✓ten sam produkt

Traffic Injection w Horizoncloud Caterease – brak weryfikacji źródła komunikacji

CVE-2024-38889CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Horizoncloud Caterease — zdalne wykonanie zapytań

CVE-2024-38882CRITICAL9.8PL ✓ten sam produkt

SQL Injection umożliwiający command injection w Horizoncloud Caterease

CVE-2024-38891HIGH7.5ten sam produkt

An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versio...