SK-CERT Bezpečnostné varovanie V20240312-07

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	10.0

Identifikátor

Progress Software Corporation OpenEdge – kritická bezpečnostná zraniteľnosť

Popis

Spoločnosť Progress Software Corporation vydala bezpečnostnú aktualizáciu na svoj produkt OpenEdge, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-1403 spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi získať neoprávnený prístup do systému a následne úplnú kontrolu nad systémom. Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód.

Dátum prvého zverejnenia varovania

27.2.2024

CVE

CVE-2024-1403

IOC

–

Zasiahnuté systémy

OpenEdge LTS vo verzii staršej ako 11.7.19 OpenEdge LTS vo verzii staršej ako 12.2.14 OpenEdge LTS vo verzii staršej ako 12.8.1

Následky

Neoprávnený prístup do systému Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. V prípade, že aktualizácia systému nie je možná, odporúčame postupovať podľa pokynov výrobcu uvedených na odkazoch v sekcii ZDROJE. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://community.progress.com/s/article/Important-Critical-Alert-for-OpenEdge-Authentication-Gateway-and-AdminServer https://www.horizon3.ai/attack-research/cve-2024-1403-progress-openedge-authentication-bypass-deep-dive/ https://github.com/horizon3ai/CVE-2024-1403 https://nvd.nist.gov/vuln/detail/CVE-2024-1403

« Späť na zoznam