W oprogramowaniu DriveLock w wersjach 24.1.4, 24.2.5 oraz 25.1.2 istnieje krytyczna podatność klasy privilege escalation (CWE-269), pozwalająca uwierzytelnionemu atakującemu na uzyskanie podwyższonych uprawnień. Wysoki wynik CVSS 9.9 oraz zakres ataku obejmujący inne komponenty systemu czynią tę podatność szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
In DriveLock 24.1.4 before 24.1.5, 24.2.5 before 24.2.6, and 25.1.2 before 25.1.4, attackers can gain elevated privileges.
Podatność wynika z nieprawidłowego zarządzania uprawnieniami (CWE-269) w oprogramowaniu DriveLock. Atakujący posiadający jedynie podstawowe uprawnienia użytkownika (PR:L) może za pośrednictwem sieci (AV:N), bez interakcji ofiary (UI:N), doprowadzić do eskalacji swoich uprawnień. Wektor CVSS wskazuje na zmianę zakresu (S:C), co oznacza, że skutki ataku mogą wychodzić poza bezpośrednio atakowany komponent i wpływać na inne części infrastruktury.
Atakujący może uzyskać podwyższone uprawnienia, co prowadzi do pełnego naruszenia poufności, integralności i dostępności systemu (C:H, I:H, A:H). W praktyce może to oznaczać przejęcie pełnej kontroli nad systemem, modyfikację konfiguracji zabezpieczeń lub uzyskanie dostępu do chronionych zasobów.
Należy zaktualizować DriveLock do wersji 24.1.5, 24.2.6 lub 25.1.4 odpowiednio dla używanej gałęzi produktu. Szczegóły dostępne w oficjalnych notach bezpieczeństwa producenta (Security Bulletin 25-001) pod adresami wskazanymi w referencjach.
DriveLock w wersjach: 24.1.4 (przed 24.1.5), 24.2.5 (przed 24.2.6) oraz 25.1.2 (przed 25.1.4)
Producent opublikował dedykowany biuletyn bezpieczeństwa o oznaczeniu 25-001-RemotePrivilege, dostępny w dokumentacji DriveLock dla wersji 2025.1 oraz w gałęzi 'current'.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HDrivelock
APPDrivelock24.1.424.2.525.1.2
Powiązane podatności
DriveLock — eskalacja uprawnień przez manipulację procesami uprzywilejowanymi
XSS w DriveLock Operations Center umożliwiający przejęcie sesji
DriveLock — obejście uwierzytelniania agenta (Auth Bypass) w DES
DriveLock — nieautoryzowana eskalacja uprawnień do roli Supervisor przez API
An issue was discovered in DriveLock 24.1 before 24.1.6, 24.2 before 24.2.7, and 25.1 before 25.1.5. Local unp...