W oprogramowaniu SecureAge Security Suite wykryto krytyczną podatność umożliwiającą eskalację uprawnień (privilege escalation). Błąd pozwala nieuwierzytelnionemu atakującemu na dowolne tworzenie, modyfikację i usuwanie plików w systemie.
▸ Pokaż oryginał (EN)
An Escalation of Privilege security vulnerability was found in SecureAge Security Suite software 7.0.x before 7.0.38, 7.1.x before 7.1.11, 8.0.x before 8.0.18, and 8.1.x before 8.1.18 that allows arbitrary file creation, modification and deletion.
Podatność sklasyfikowana jako CWE-281 (Improper Preservation of Permissions) wynika z nieprawidłowej obsługi uprawnień do plików w oprogramowaniu SecureAge Security Suite. Atakujący, bez konieczności posiadania uwierzytelnienia ani interakcji ze strony użytkownika, może wykorzystać ten błąd do manipulacji systemem plików z podwyższonymi uprawnieniami. Wektor sieciowy (AV:N) i brak wymagań wstępnych (PR:N, UI:N) czynią podatność szczególnie niebezpieczną i łatwą do wykorzystania zdalnie.
Atakujący może dowolnie tworzyć, modyfikować oraz usuwać pliki w systemie operacyjnym, co w praktyce może prowadzić do przejęcia pełnej kontroli nad systemem, zniszczenia danych lub instalacji złośliwego oprogramowania.
Należy zaktualizować oprogramowanie SecureAge Security Suite do wersji 7.0.38 lub nowszej (w gałęzi 7.0.x), 7.1.11 lub nowszej (w gałęzi 7.1.x), 8.0.18 lub nowszej (w gałęzi 8.0.x) albo 8.1.18 lub nowszej (w gałęzi 8.1.x). Szczegóły dostępne są w oficjalnym komunikacie producenta pod adresem secureage.com/blog/resolved-escalation-of-privilege.
SecureAge Security Suite w wersjach: 7.0.x przed 7.0.38, 7.1.x przed 7.1.11, 8.0.x przed 8.0.18 oraz 8.1.x przed 8.1.18
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H