SK-CERT Bezpečnostné varovanie V20221121-03
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.8 |
Identifikátor |
BACKCLICK Professional – tri kritické bezpečnostné zraniteľnosti |
Popis |
Bezpečnostní výskumníci zverejnili informácie o viacerých zraniteľnostiach e-mail marketing softvéru BACKCLICK, z ktorých tri sú označované ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
14.11.2022 |
CVE |
CVE-2022-43999, CVE-2022-44000, CVE-2022-44002, CVE-2022-44003, CVE-2022-44004, CVE-2022-44005, CVE-2022-44007, CVE-2022-44008 |
IOC |
– |
Zasiahnuté systémy |
BACKCLICK Professional vo verzii staršej ako 5.9.63 (vrátane) |
Následky |
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému. |
Odporúčania |
Na uvedené zraniteľnosti v súčasnosti nebola vydaná bezpečnostná záplata a nie je známy ani spôsob mitigácie. Odporúčame preto kontaktovať výrobcu alebo prejsť na iný produkt bez známych bezpečnostných zraniteľností. Organizáciám, ktoré majú nasadenú zraniteľnú verziu on-premise odporúčame, aby do odstránenia zraniteľností znemožnili prístup na inštanciu z Internetu (napríklad firewallovým pravidlom alebo vypnutím inštancie). |
« Späť na zoznam