W aplikacji Stilog Visual Planning 8 wykryto krytyczną podatność typu authentication bypass, która umożliwia nieuwierzytelnionemu atakującemu uzyskanie administracyjnego tokenu API. Przejęcie tokenu administratora pozwala na pełną kompromitację systemu bez konieczności posiadania jakichkolwiek poświadczeń.
▸ Pokaż oryginał (EN)
An authentication bypass vulnerability was found in Stilog Visual Planning 8. It allows an unauthenticated attacker to receive an administrative API token.
Podatność (CWE-294 — Authentication Bypass by Capture-replay) polega na możliwości ominięcia mechanizmu uwierzytelnienia w interfejsie API aplikacji. Nieautoryzowany atakujący może wysłać odpowiednio spreparowane żądanie sieciowe i w odpowiedzi otrzymać administracyjny token API. Uzyskany token uprawnia do wykonywania operacji zarezerwowanych wyłącznie dla administratorów systemu.
Atakujący uzyskuje pełny dostęp administracyjny do API aplikacji, co umożliwia odczyt i modyfikację danych, a także potencjalnie przejęcie kontroli nad całą instancją Visual Planning 8.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacje dostępne są pod adresem https://www.visual-planning.com/en/support-portal/updates
Stilog Visual Planning 8
Szczegółowe informacje techniczne zostały opublikowane przez firmę Schutzwerk w ramach advisories SCHUTZWERK-SA-2023-003 oraz ujawnione w ramach full disclosure na liście seclists.org w kwietniu 2024 r.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H