W aplikacji DriveLock wykryto podatność klasy privilege escalation (CWE-269), pozwalającą użytkownikom z uprawnieniem 'Manage roles and permissions' na nadanie sobie lub innym użytkownikom roli Supervisor poprzez wywołanie API. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL) ze względu na brak wymagań dotyczących uwierzytelnienia specjalnego i pełny zakres skutków.
▸ Pokaż oryginał (EN)
An issue was discovered in DriveLock 24.1 through 24.1.*, 24.2 through 24.2.*, and 25.1 before 25.1.6. Users with the "Manage roles and permissions" privilege can promote themselves or other DOC users to the Supervisor role through an API call. This privilege is included by default in the Administrator role. This issue mainly affects cloud multi-tenant deployments; on-prem single-tenant installations are typically not impacted because local admins usually already have Supervisor privileges.
Użytkownik posiadający uprawnienie 'Manage roles and permissions' (domyślnie przypisane do roli Administrator) może wykonać specjalnie spreparowane wywołanie API, które skutkuje awansowaniem własnego konta lub konta innego użytkownika DOC do roli Supervisor. Rola Supervisor posiada wyższy poziom uprawnień niż Administrator, co oznacza, że atakujący uzyskuje pełną kontrolę nad systemem. Problem wynika z braku odpowiedniej walidacji po stronie serwera — API nie weryfikuje, czy użytkownik wywołujący żądanie jest uprawniony do przyznawania roli Supervisor.
Atakujący może uzyskać najwyższy poziom uprawnień w systemie DriveLock (rola Supervisor), co umożliwia pełne przejęcie kontroli nad konfiguracją, politykami bezpieczeństwa i danymi zarządzanymi przez platformę, w tym w środowiskach wielodostępnych (multi-tenant) w chmurze.
Należy zaktualizować DriveLock do wersji 25.1.6 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://drivelock.help/sb/Content/SecurityBulletins/25-008-DESPrivilegeEsc.htm. W środowiskach chmurowych multi-tenant należy priorytetowo przeprowadzić aktualizację oraz zweryfikować przypisania ról użytkowników pod kątem nieautoryzowanych zmian.
DriveLock w wersjach 24.1.x, 24.2.x oraz 25.1 przed 25.1.6. Problem w głównej mierze dotyczy wdrożeń chmurowych w trybie multi-tenant; instalacje on-premise w trybie single-tenant są zazwyczaj niepodatne, ponieważ lokalni administratorzy z reguły posiadają już uprawnienia Supervisora.
Podatność dotyczy przede wszystkim wdrożeń chmurowych w modelu multi-tenant. Instalacje on-premise w trybie single-tenant są według producenta typowo niepodatne na to zagrożenie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDrivelock
APPDrivelock24.1 – 24.1.624.2 – 24.2.825.1 – 25.1.6 (bez)
Powiązane podatności
DriveLock — eskalacja uprawnień przez manipulację procesami uprzywilejowanymi
XSS w DriveLock Operations Center umożliwiający przejęcie sesji
DriveLock — obejście uwierzytelniania agenta (Auth Bypass) w DES
DriveLock — privilege escalation umożliwiające przejęcie kontroli nad systemem
An issue was discovered in DriveLock 24.1 before 24.1.6, 24.2 before 24.2.7, and 25.1 before 25.1.5. An unpriv...