CRITICAL🇬🇧 English

CVE-2024-46622

Eskalacja uprawnień w SecureAge Security Suite – dowolna manipulacja plikami

CVSS 9.8v3.1pub. 2025-01-06upd. 2026-04-15

W oprogramowaniu SecureAge Security Suite wykryto krytyczną podatność umożliwiającą eskalację uprawnień (privilege escalation). Błąd pozwala nieuwierzytelnionemu atakującemu na dowolne tworzenie, modyfikację i usuwanie plików w systemie.

Pokaż oryginał (EN)

An Escalation of Privilege security vulnerability was found in SecureAge Security Suite software 7.0.x before 7.0.38, 7.1.x before 7.1.11, 8.0.x before 8.0.18, and 8.1.x before 8.1.18 that allows arbitrary file creation, modification and deletion.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-281 (Improper Preservation of Permissions) wynika z nieprawidłowej obsługi uprawnień do plików w oprogramowaniu SecureAge Security Suite. Atakujący, bez konieczności posiadania uwierzytelnienia ani interakcji ze strony użytkownika, może wykorzystać ten błąd do manipulacji systemem plików z podwyższonymi uprawnieniami. Wektor sieciowy (AV:N) i brak wymagań wstępnych (PR:N, UI:N) czynią podatność szczególnie niebezpieczną i łatwą do wykorzystania zdalnie.

Skutki

Atakujący może dowolnie tworzyć, modyfikować oraz usuwać pliki w systemie operacyjnym, co w praktyce może prowadzić do przejęcia pełnej kontroli nad systemem, zniszczenia danych lub instalacji złośliwego oprogramowania.

Mitygacja

Należy zaktualizować oprogramowanie SecureAge Security Suite do wersji 7.0.38 lub nowszej (w gałęzi 7.0.x), 7.1.11 lub nowszej (w gałęzi 7.1.x), 8.0.18 lub nowszej (w gałęzi 8.0.x) albo 8.1.18 lub nowszej (w gałęzi 8.1.x). Szczegóły dostępne są w oficjalnym komunikacie producenta pod adresem secureage.com/blog/resolved-escalation-of-privilege.

Kogo dotyczy

SecureAge Security Suite w wersjach: 7.0.x przed 7.0.38, 7.1.x przed 7.1.11, 8.0.x przed 8.0.18 oraz 8.1.x przed 8.1.18

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje