IBM Common Cryptographic Architecture (CCA) w wersjach 7.5.52 oraz 8.4.82 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń z podwyższonymi uprawnieniami. Zagrożenie jest szczególnie poważne ze względu na brak wymogu uwierzytelnienia oraz pełny wpływ na poufność, integralność i dostępność systemu.
▸ Pokaż oryginał (EN)
IBM Common Cryptographic Architecture (CCA) 7.5.52 and 8.4.82 could allow an unauthenticated user to execute arbitrary commands with elevated privileges on the system.
Podatność wynika z nieprawidłowego przypisania uprawnień podczas wykonywania operacji w bibliotece IBM CCA (CWE-250 — Execution with Unnecessary Privileges). Nieuwierzytelniony użytkownik sieciowy może wywołać operacje biblioteki w sposób, który skutkuje uruchomieniem dowolnych poleceń systemowych z podwyższonym poziomem uprawnień. Atak nie wymaga interakcji użytkownika ani specjalnych warunków wstępnych, co znacząco obniża próg jego przeprowadzenia.
Atakujący może przejąć pełną kontrolę nad systemem, na którym działa podatna biblioteka IBM CCA, uzyskując możliwość odczytu, modyfikacji lub usunięcia danych, w tym potencjalnie kluczy kryptograficznych zarządzanych przez bibliotekę.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawionych dostępne są pod adresem: https://www.ibm.com/support/pages/node/7259625
IBM Common Cryptographic Architecture (CCA) w wersjach 7.5.52 oraz 8.4.82.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H