CRITICAL🇬🇧 English

CVE-2024-5618

Nieprawidłowe uprawnienia do zasobów krytycznych w Apinizer Management Console

CVSS 9.9v3.1pub. 2024-07-18upd. 2026-06-03

Podatność w PruvaSoft Informatics Apinizer Management Console polega na nieprawidłowym przypisaniu uprawnień do krytycznych zasobów systemu. Błąd pozwala uwierzytelnionemu użytkownikowi sieciowemu na dostęp do funkcji, które powinny być chronione przez listy kontroli dostępu (ACL).

Pokaż oryginał (EN)

Incorrect Permission Assignment for Critical Resource vulnerability in PruvaSoft Informatics Apinizer Management Console allows Accessing Functionality Not Properly Constrained by ACLs. This issue affects Apinizer Management Console: before 2024.05.1.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-732 wynika z niepoprawnej konfiguracji uprawnień przypisanych do krytycznych zasobów w konsoli zarządzania Apinizer. Mechanizm kontroli dostępu oparty na ACL nie jest prawidłowo egzekwowany, co umożliwia zalogowanemu użytkownikowi o niskich uprawnieniach wykonywanie operacji zarezerwowanych dla wyższych ról. Atak może być przeprowadzony zdalnie przez sieć bez konieczności interakcji po stronie ofiary.

Skutki

Atakujący posiadający podstawowe poświadczenia może uzyskać nieautoryzowany dostęp do funkcji administracyjnych i krytycznych zasobów systemu, co może prowadzić do pełnego przejęcia kontroli nad konsolą zarządzania, ujawnienia poufnych danych oraz naruszenia integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Apinizer Management Console do wersji 2024.05.1 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz biuletynie bezpieczeństwa USOM (TR-24-1010).

Kogo dotyczy

PruvaSoft Informatics Apinizer Management Console we wszystkich wersjach przed 2024.05.1.

Uwagi

Podatność została zgłoszona przez tureckie centrum reagowania na incydenty (USOM/SOME) pod identyfikatorem TR-24-1010. Wysoki wynik CVSS 9.9 wynika z zakresu oddziaływania wykraczającego poza kontekst podatnego komponentu (S:C) przy niskich wymaganiach wstępnych (PR:L, AC:L).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje