Descor Infocad w wersji 3.5.1 i wcześniejszych posiada krytyczną podatność polegającą na nieprawidłowej implementacji mechanizmu autoryzacji. Błąd umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do chronionych zasobów systemu bez żadnych ograniczeń sieciowych.
▸ Pokaż oryginał (EN)
DESCOR INFOCAD 3.5.1 and before and fixed in v.3.5.2.0 has a broken authorization schema.
Podatność wynika z błędów w schemacie autoryzacji (CWE-863: nieprawidłowa weryfikacja uprawnień, CWE-862: brak weryfikacji uprawnień). System nie sprawdza poprawnie, czy żądający dostępu użytkownik posiada odpowiednie uprawnienia, co pozwala ominąć mechanizmy kontroli dostępu. Atakujący może wysyłać żądania do chronionych zasobów bez konieczności posiadania ważnej sesji ani poświadczeń. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani żadnych uprawnień po stronie atakującego.
Atakujący może uzyskać pełną kontrolę nad systemem — w tym poufność, integralność i dostępność danych — bez uwierzytelnienia i z dowolnej lokalizacji sieciowej. Maksymalny wynik CVSS 10.0 wskazuje na możliwość całkowitego przejęcia systemu oraz wpływ wykraczający poza sam komponent (Scope: Changed).
Należy pilnie zaktualizować oprogramowanie Descor Infocad do wersji 3.5.2.0 lub nowszej, w której błąd został naprawiony. Szczegóły dostępne w dokumentacji producenta pod adresem: https://www.infocadfm.com/changelog/broken-authorization-schema/
Descor Infocad w wersji 3.5.1 oraz wszystkich wcześniejszych wersjach.
Podatność została naprawiona w wersji 3.5.2.0 zgodnie z informacją producenta zawartą w opisie oryginalnym.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HDescor Infocad
APPDescor< 3.5.2.0