Krytyczna podatność w oprogramowaniu TeoBASE firmy TeoSOFT Software umożliwia nieuwierzytelnionemu atakującemu całkowite ominięcie mechanizmu uwierzytelnienia. Podatność otrzymała ocenę CVSS 9.8, co oznacza najwyższy poziom zagrożenia.
▸ Pokaż oryginał (EN)
Authentication Bypass by Primary Weakness vulnerability in TeoSOFT Software TeoBASE allows Authentication Bypass. This issue affects TeoBASE: through 20240327. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) polega na możliwości obejścia głównego mechanizmu uwierzytelnienia w aplikacji TeoBASE. Atakujący zdalnie, bez żadnych uprawnień i bez interakcji ze strony użytkownika, może ominąć weryfikację tożsamości i uzyskać nieautoryzowany dostęp do systemu. Producent mimo wcześniejszego kontaktu ze strony badaczy nie odpowiedział na zgłoszenie, co oznacza brak oficjalnego oświadczenia czy łatki ze strony TeoSOFT.
Atakujący może uzyskać pełen nieautoryzowany dostęp do systemu — z naruszeniem poufności, integralności i dostępności danych — bez konieczności posiadania jakichkolwiek poświadczeń dostępu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na brak odpowiedzi producenta na zgłoszenie podatności, zaleca się kontakt z TeoSOFT w celu uzyskania informacji o dostępnych aktualizacjach oraz rozważenie wdrożenia dodatkowych kontroli dostępu (np. ograniczenie dostępu sieciowego do aplikacji poprzez firewall) do czasu wydania oficjalnej poprawki.
TeoSOFT Software TeoBASE we wszystkich wersjach do dnia 2024-03-27 włącznie.
Producent — TeoSOFT Software — był informowany o podatności przed jej publicznym ujawnieniem, jednak nie udzielił żadnej odpowiedzi. Informacja o podatności pochodzi z tureckiego centrum reagowania na incydenty (USOM/TR-CERT), sygnatura TR-24-0238, opublikowana 2024-03-27.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H