Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/09/21

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• mymbCONNECT24, v2.6.1 bertsioa eta aurrekoak;
• mbCONNECT24, v2.6.1 bertsioa eta aurrekoak;

Azalpena:

[email protected] plataformak OTORIOk MB connect line-ri jakinarazitako ahultasunak koordinatu ditu. Horrela izanik, erasotzaile batek informazioa zabal lezake.

Konponbidea:

Kaltetutako produktuak v2.6.1. bertsioaren osteko bertsio batera eguneratzea.

Xehetasunak:

• Knximport eta lancompenent sistemen SQL injekzioko ahultasun baten bidez, baimendutako erasotzaile batek informazio arbitrarioa antzeman lezake. Ahultasun horietarako CVE-2020-24569 eta CVE-2020-24568 identifikatzaileak erreserbatu dira.
• Server-Side Request Forgery (SSRF) eta Cross-Site Request Forgery (CSRF) motako ahultasunaren bidez, erasotzaile batek saioko informazioa lapurtu lezake, bereziki diseinatutako loturen bidez. Ahultasun horretarako, CVE-2020-24570 identifikatzailea esleitu da.
• Hirugarrenen software zaharkitu eta erabili gabea erabiliz, kodearen urrutiko exekuzioa gerta liteke, ustiapen kate baten bidez.

Etiketak: Eguneratzea, Birtualizazioa, Ahultasuna