W DriveLock Operations Center wykryto podatność typu Cross-Site Scripting (XSS), która pozwala atakującemu na przejęcie sesji użytkownika przez sieć. Podatność otrzymała ocenę CVSS 9.6 (CRITICAL), co czyni ją poważnym zagrożeniem dla środowisk korzystających z tej platformy.
▸ Pokaż oryginał (EN)
An issue was discovered in 25.1.2 before 25.1.5. A Cross Site Scripting (XSS) issue in DriveLock Operations Center allows for session takeover over a network.
Podatność klasy XSS (CWE-79) polega na możliwości wstrzyknięcia i wykonania złośliwego kodu JavaScript w kontekście przeglądarki ofiary. Wektor ataku wskazuje, że do jego przeprowadzenia wymagana jest interakcja użytkownika (UI:R), natomiast atak pochodzi ze zdalnej lokalizacji przez sieć (AV:N) bez konieczności posiadania uprawnień (PR:N). Ze względu na zmieniony zakres (S:C) skutki ataku wykraczają poza aplikację będącą bezpośrednim celem, co potencjalnie zagraża powiązanym zasobom.
Atakujący może przejąć sesję zalogowanego użytkownika DriveLock Operations Center, uzyskując w ten sposób dostęp do danych i funkcji systemu z poziomem uprawnień ofiary. Skutki obejmują wysoką utratę poufności i integralności danych oraz częściowe zagrożenie dostępności systemu.
Należy zaktualizować DriveLock do wersji 25.1.5 lub nowszej, w której błąd został usunięty. Szczegóły dostępne są w biuletynie bezpieczeństwa producenta (Security Bulletin 25-002) pod adresem wskazanym w referencjach.
DriveLock w wersjach od 25.1.2 do 25.1.4 (przed wersją 25.1.5) — komponent DriveLock Operations Center.
Podatność opisana w oficjalnym biuletynie bezpieczeństwa producenta DriveLock o sygnaturze 25-002, opublikowanym przez DriveLock w sekcji Release Notes. Identyfikator wersji poprawki: 25.1.5.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:LDrivelock
APPDrivelock25.1.225.1.4
Powiązane podatności
DriveLock — obejście uwierzytelniania agenta (Auth Bypass) w DES
DriveLock — eskalacja uprawnień przez manipulację procesami uprzywilejowanymi
DriveLock — nieautoryzowana eskalacja uprawnień do roli Supervisor przez API
DriveLock — privilege escalation umożliwiające przejęcie kontroli nad systemem
An issue was discovered in DriveLock 24.1 before 24.1.6, 24.2 before 24.2.7, and 25.1 before 25.1.5. An unpriv...