CRITICAL🇬🇧 English

CVE-2024-49803

IBM Security Verify Access — zdalne wykonanie poleceń (command injection)

CVSS 9.8v3.1pub. 2024-11-29upd. 2025-01-29

Podatność typu command injection w IBM Security Verify Access Appliance umożliwia uwierzytelnionemu zdalnemu atakującemu wykonanie dowolnych poleceń systemowych. Wysoki wynik CVSS 9.8 wskazuje na krytyczne zagrożenie dla poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

IBM Security Verify Access Appliance 10.0.0 through 10.0.8 could allow a remote authenticated attacker to execute arbitrary commands on the system by sending a specially crafted request.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie sieciowe do urządzenia IBM Security Verify Access Appliance. Aplikacja nie sanityzuje prawidłowo danych wejściowych przekazywanych do interpretera poleceń systemowych (CWE-78), co pozwala na wstrzyknięcie i wykonanie arbitralnych poleceń w kontekście systemu operacyjnego urządzenia. Atak nie wymaga interakcji po stronie użytkownika ani szczególnych uprawnień poza posiadaniem ważnego konta.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem, w tym przejąć poufne dane, zmodyfikować konfigurację systemu tożsamości lub całkowicie wyłączyć usługę uwierzytelniania, co może wpłynąć na dostęp do wszystkich zasobów chronionych przez IBM Security Verify Access.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.ibm.com/support/pages/node/7177447). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania urządzenia wyłącznie do zaufanych hostów oraz monitorowanie logów pod kątem nieoczekiwanych żądań.

Kogo dotyczy

IBM Security Verify Access Appliance w wersjach 10.0.0 do 10.0.8 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • IBM Security Verify Access

    APP
    Ibm
    10.0.0 – 10.0.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-1346CRITICAL9.3PL ✓ten sam produkt

Privilege escalation do root w IBM Security Verify Access i Verify Identity Access

CVE-2025-36356CRITICAL9.3PL ✓ten sam produkt

IBM Security Verify Access — privilege escalation do root przez nadmiarowe uprawnienia

CVE-2024-49806CRITICAL9.4PL ✓ten sam produkt

IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)

CVE-2024-49805CRITICAL9.4PL ✓ten sam produkt

IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)

CVE-2021-39070CRITICAL9.8ten sam produkt

IBM Security Verify Access 10.0.0.0, 10.0.1.0 and 10.0.2.0 with the advanced access control authentication ser...