CRITICAL🇬🇧 English

CVE-2024-42919

Błąd kontroli dostępu w eScan Management Console (acteScanAVReport)

CVSS 9.8v3.1pub. 2024-08-20upd. 2025-11-12

eScan Management Console 14.0.1400.2281 zawiera krytyczną podatność nieprawidłowej kontroli dostępu (Incorrect Access Control) w komponencie acteScanAVReport. Umożliwia ona nieuwierzytelnionemu atakującemu zdalny dostęp do chronionych zasobów lub funkcji systemu.

Pokaż oryginał (EN)

eScan Management Console 14.0.1400.2281 is vulnerable to Incorrect Access Control via acteScanAVReport.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji mechanizmów kontroli dostępu w module acteScanAVReport konsoli zarządzania eScan. Atakujący może wysłać odpowiednio spreparowane żądanie sieciowe bez konieczności uwierzytelnienia, ponieważ aplikacja nie weryfikuje prawidłowo uprawnień do dostępu do tego komponentu. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani specjalnych uprawnień, co czyni podatność szczególnie niebezpieczną.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować dane lub konfigurację systemu oraz potencjalnie doprowadzić do niedostępności usługi — co odpowiada pełnemu naruszeniu poufności, integralności i dostępności (C:H/I:H/A:H).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu do konsoli zarządzania eScan na poziomie sieci (firewall) wyłącznie do zaufanych adresów IP do czasu wdrożenia poprawki.

Kogo dotyczy

eScan Management Console w wersji 14.0.1400.2281

Uwagi

Publiczny opis podatności oraz materiały dowodowe (proof-of-concept) zostały opublikowane w repozytorium GitHub pod adresem https://github.com/jeyabalaji711/CVE-2024-42919.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Escanav Escan Management Console

    APP
    Escanav
    14.0.1400.2281
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-33730CRITICAL9.8ten sam produkt

Privilege Escalation in the "GetUserCurrentPwd" function in Microworld Technologies eScan Management Console 1...

CVE-2023-31703CRITICAL9.0ten sam produkt

Cross Site Scripting (XSS) in the edit user form in Microworld Technologies eScan management console 14.0.1400...

CVE-2023-31702HIGH7.2ten sam produkt

SQL injection in the View User Profile in MicroWorld eScan Management Console 14.0.1400.2281 allows remote att...

CVE-2023-34838MEDIUM5.4ten sam produkt

A Cross Site Scripting vulnerability in Microworld Technologies eScan Management console v.14.0.1400.2281 allo...

CVE-2023-34836MEDIUM5.4ten sam produkt

A Cross Site Scripting vulnerability in Microworld Technologies eScan Management console v.14.0.1400.2281 allo...