CRITICAL🇬🇧 English

CVE-2024-0949

Authentication Bypass w Talya Informatics Elektraweb (przed v17.0.68)

CVSS 9.8v3.1pub. 2024-06-27upd. 2026-06-03

Krytyczna podatność w systemie Elektraweb firmy Talya Informatics umożliwia ominięcie uwierzytelniania bez żadnych uprawnień przez sieć. Wynika z trzech równoczesnych błędów: braku wymaganego uwierzytelniania, dostępności plików dla zewnętrznych stron oraz zastosowania zakodowanych na stałe danych uwierzytelniających.

Pokaż oryginał (EN)

Missing Authentication, Files or Directories Accessible to External Parties, Use of Hard-coded Credentials vulnerability in Talya Informatics Elektraweb allows Authentication Bypass. This issue affects Elektraweb: before v17.0.68.

🤖 Analiza AI
Jak działa

Podatność obejmuje trzy powiązane słabości (CWE-306, CWE-552, CWE-798): brak weryfikacji tożsamości użytkownika przed dostępem do chronionych zasobów, możliwość bezpośredniego dostępu do plików lub katalogów przez zewnętrznych użytkowników oraz obecność zakodowanych na stałe danych logowania wbudowanych w aplikację. Połączenie tych trzech wektorów pozwala atakującemu na obejście mechanizmów uwierzytelniania bez znajomości poprawnych danych dostępowych. Atak jest możliwy zdalnie przez sieć, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany, pełny dostęp do systemu Elektraweb, co prowadzi do naruszenia poufności, integralności i dostępności danych (ocena CVSS: C:H/I:H/A:H). W praktyce oznacza to możliwość odczytu, modyfikacji lub usunięcia danych zarządzanych przez system.

Mitygacja

Należy niezwłocznie zaktualizować system Elektraweb do wersji v17.0.68 lub nowszej. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do systemu wyłącznie do zaufanych sieci wewnętrznych lub zastosowanie reguł firewall blokujących dostęp z zewnątrz.

Kogo dotyczy

Talya Informatics Elektraweb — wszystkie wersje przed v17.0.68

Uwagi

Podatność zgłoszona przez tureckie organy ds. cyberbezpieczeństwa (USOM/TR-CERT), referencja TR-24-0808. Data publikacji: 2024-06-27.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje