Podatność CWE-306 w oprogramowaniu Q-Free MaxTime w wersji 2.11.0 i wcześniejszych pozwala nieuwierzytelnionemu atakującemu zdalnie modyfikować uprawnienia grup użytkowników. Wynika to z braku mechanizmu uwierzytelnienia dla krytycznej funkcji zarządzania uprawnieniami, co stanowi poważne zagrożenie dla integralności systemu.
▸ Pokaż oryginał (EN)
A CWE-306 "Missing Authentication for Critical Function" in maxprofile/menu/routes.lua in Q-Free MaxTime less than or equal to version 2.11.0 allows an unauthenticated remote attacker to edit user group permissions via crafted HTTP requests.
Podatność znajduje się w pliku maxprofile/menu/routes.lua obsługującym routing żądań HTTP. Funkcja odpowiedzialna za edycję uprawnień grup użytkowników nie wymaga żadnego uwierzytelnienia przed jej wykonaniem. Atakujący może wysyłać spreparowane żądania HTTP bezpośrednio do podatnego endpointu, omijając całkowicie mechanizmy kontroli dostępu i modyfikując uprawnienia dowolnych grup użytkowników.
Nieuwierzytelniony atakujący zdalny może dowolnie modyfikować uprawnienia grup użytkowników w systemie, co może prowadzić do eskalacji uprawnień, nieautoryzowanego dostępu do chronionych zasobów oraz pełnej kompromitacji poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania Q-Free MaxTime wyłącznie do zaufanych hostów oraz monitorowanie ruchu HTTP do podatnych endpointów do czasu wdrożenia aktualizacji.
Q-Free MaxTime w wersji 2.11.0 oraz wszystkich wcześniejszych wersjach.
Podatność została opisana przez Nozomi Networks Labs w ramach ich programu ujawniania podatności (advisory dostępny pod adresem nozominetworks.com).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HQ Free Maxtime
APPQ-Free≤ 2.11.0
Powiązane podatności
Q-Free MaxTime: tworzenie kont bez uwierzytelnienia (w tym kont admina)
Q-Free MaxTime: resetowanie haseł bez uwierzytelnienia (CWE-306)
Brak uwierzytelnienia dla krytycznej funkcji w Q-Free MaxTime
Q-Free MaxTime: zakodowane hasło root umożliwia zdalny RCE przez SSH
Q-Free MaxTime: brak uwierzytelnienia umożliwia włączenie trybu gościa bez hasła