CRITICAL🇬🇧 English

CVE-2024-4995

Wapro ERP Desktop – podatność na downgrade protokołu MS SQL do nieszyfrowanej komunikacji

CVSS 9.1v4.0pub. 2024-12-18upd. 2026-04-15

Wapro ERP Desktop jest podatny na wymuszony downgrade protokołu MS SQL przez serwer, co skutkuje przesyłaniem danych w formie niezaszyfrowanej. Umożliwia to przechwycenie i modyfikację wrażliwych danych biznesowych przez atakującego.

Pokaż oryginał (EN)

Wapro ERP Desktop is vulnerable to MS SQL protocol downgrade request from a server side, what could lead to an unencrypted communication vulnerable to data interception and modification. This issue affects Wapro ERP Desktop versions before 9.00.0.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że aplikacja akceptuje żądanie obniżenia wersji protokołu komunikacyjnego MS SQL inicjowane po stronie serwera (lub podszywającego się pod serwer atakującego). Po wymuszeniu downgrade'u komunikacja między klientem Wapro ERP Desktop a serwerem bazy danych odbywa się bez szyfrowania. Atakujący posiadający dostęp do segmentu sieciowego może następnie podsłuchiwać ruch (atak typu man-in-the-middle) i przechwytywać lub manipulować przesyłanymi danymi.

Skutki

Atakujący może przechwycić poufne dane przesyłane między aplikacją a serwerem bazy danych, w tym dane uwierzytelniające i dane biznesowe, a także dokonać ich nieuprawnionej modyfikacji w trakcie transmisji.

Mitygacja

Należy zaktualizować Wapro ERP Desktop do wersji 9.00.0 lub nowszej. Dodatkowo zaleca się segmentację sieci oraz ograniczenie dostępu do segmentu, w którym odbywa się komunikacja z serwerem MS SQL, aby utrudnić przeprowadzenie ataku man-in-the-middle.

Kogo dotyczy

Wapro ERP Desktop w wersjach wcześniejszych niż 9.00.0

Uwagi

Podatność została opublikowana przez CERT Polska (cert.pl). Wymagana jest obecność atakującego w segmencie sieciowym (AT:P w wektorze CVSS), co częściowo ogranicza zasięg zagrożenia.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:U/V:C/RE:M/U:Amber
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje