SK-CERT Bezpečnostné varovanie V20221121-03
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP WHITE |
| CVSS Skóre |
9.8 |
| Identifikátor |
| BACKCLICK Professional – tri kritické bezpečnostné zraniteľnosti |
| Popis |
| Bezpečnostní výskumníci zverejnili informácie o viacerých zraniteľnostiach e-mail marketing softvéru BACKCLICK, z ktorých tri sú označované ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
| Dátum prvého zverejnenia varovania |
| 14.11.2022 |
| CVE |
| CVE-2022-43999, CVE-2022-44000, CVE-2022-44002, CVE-2022-44003, CVE-2022-44004, CVE-2022-44005, CVE-2022-44007, CVE-2022-44008 |
| IOC |
| – |
| Zasiahnuté systémy |
| BACKCLICK Professional vo verzii staršej ako 5.9.63 (vrátane) |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému. |
| Odporúčania |
| Na uvedené zraniteľnosti v súčasnosti nebola vydaná bezpečnostná záplata a nie je známy ani spôsob mitigácie. Odporúčame preto kontaktovať výrobcu alebo prejsť na iný produkt bez známych bezpečnostných zraniteľností. Organizáciám, ktoré majú nasadenú zraniteľnú verziu on-premise odporúčame, aby do odstránenia zraniteľností znemožnili prístup na inštanciu z Internetu (napríklad firewallovým pravidlom alebo vypnutím inštancie). |
« Späť na zoznam
