Fortra FileCatalyst Workflow zawiera wbudowaną bazę danych HSQLDB z domyślnymi poświadczeniami opublikowanymi w artykule bazy wiedzy producenta. Nieautoryzowany dostęp do bazy przy użyciu tych poświadczeń może skutkować pełnym naruszeniem poufności, integralności i dostępności oprogramowania.
▸ Pokaż oryginał (EN)
The default credentials for the setup HSQL database (HSQLDB) for FileCatalyst Workflow are published in a vendor knowledgebase article. Misuse of these credentials could lead to a compromise of confidentiality, integrity, or availability of the software. The HSQLDB is only included to facilitate installation, has been deprecated, and is not intended for production use per vendor guides. However, users who have not configured FileCatalyst Workflow to use an alternative database per recommendations are vulnerable to attack from any source that can reach the HSQLDB.
Baza danych HSQLDB dołączona do FileCatalyst Workflow posiada domyślne dane logowania, które zostały upublicznione w dokumentacji producenta. Każdy atakujący, który ma dostęp sieciowy do portu HSQLDB, może użyć tych znanych poświadczeń do uwierzytelnienia się bez żadnej dodatkowej wiedzy ani narzędzi. Problem dotyczy instalacji, w których administrator nie skonfigurował alternatywnej bazy danych zgodnie z zaleceniami producenta — HSQLDB jest bowiem przeznaczona wyłącznie jako ułatwienie procesu instalacji i nie powinna być używana w środowisku produkcyjnym.
Atakujący z dostępem sieciowym do instancji HSQLDB może uzyskać pełną kontrolę nad bazą danych aplikacji, co prowadzi do naruszenia poufności danych, ich modyfikacji lub całkowitego uniemożliwienia działania systemu FileCatalyst Workflow.
Należy niezwłocznie przeprowadzić migrację z domyślnej bazy HSQLDB na zalecaną przez producenta alternatywną bazę danych. Do czasu migracji należy zablokować dostęp sieciowy do portu HSQLDB za pomocą firewall lub reguł ACL, ograniczając go wyłącznie do zaufanych hostów. Szczegółowe instrukcje dostępne są w poradniku bezpieczeństwa producenta: https://www.fortra.com/security/advisories/product-security/fi-2024-011
Fortra FileCatalyst Workflow — instalacje korzystające z domyślnej bazy danych HSQLDB, które nie zostały skonfigurowane do używania alternatywnej bazy danych zgodnie z zaleceniami producenta.
Producent wskazuje, że HSQLDB jest oznaczona jako przestarzała (deprecated) i nie jest przeznaczona do użytku produkcyjnego. Domyślne poświadczenia zostały opublikowane przez producenta w artykule bazy wiedzy, co czyni je publicznie dostępnymi dla potencjalnych atakujących.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFortra Filecatalyst Workflow
APPFortra5.0.4 – 5.1.7 (bez)
Powiązane podatności
SQL Injection w Fortra FileCatalyst Workflow umożliwia modyfikację danych
Path traversal w Fortra FileCatalyst Workflow umożliwiający RCE przez web shell
A vulnerability exists in FileCatalyst Workflow whereby a field accessible to the super admin can be used to p...
Deserialization i command injection w Fortra GoAnywhere MFT (License Servlet)
Pominięcie uwierzytelniania w Fortra GoAnywhere MFT — tworzenie konta admina