CRITICAL🇬🇧 English

CVE-2024-10035

Command Injection i privilege escalation w BG-TEK CoslatV3

CVSS 9.2v4.0pub. 2024-11-04upd. 2026-06-02

Podatność w produkcie BG-TEK CoslatV3 umożliwia przeprowadzenie ataku typu command injection oraz privilege escalation przez lokalnego użytkownika. Sytuację pogarsza fakt, że producent potwierdził brak wsparcia dla produktu, co oznacza niedostępność oficjalnych poprawek.

Pokaż oryginał (EN)

Improper Control of Generation of Code ('Code Injection'), Improper Neutralization of Special Elements used in a Command ('Command Injection'), Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in BG-TEK Informatics Security Technologies CoslatV3 allows Command Injection, Privilege Escalation. This issue affects CoslatV3: through 3.1069. NOTE: The vendor was contacted and it was learned that the product is not supported.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej neutralizacji znaków specjalnych w poleceniach systemowych (OS Command Injection) oraz nieprawidłowej kontroli generowania kodu (Code Injection). Lokalny, uwierzytelniony użytkownik może wstrzyknąć złośliwe polecenia lub kod, które zostaną wykonane w kontekście systemu operacyjnego. Podatność pozwala na eskalację uprawnień, co może prowadzić do przejęcia kontroli nad systemem.

Skutki

Atakujący może wykonać dowolne polecenia systemowe oraz uzyskać wyższe uprawnienia, co zagraża poufności, integralności i dostępności zarówno systemu lokalnego, jak i powiązanych systemów.

Mitygacja

Producent potwierdził brak wsparcia dla produktu — oficjalna poprawka nie zostanie wydana. Zaleca się natychmiastowe wycofanie produktu z użycia lub izolację systemu od sieci oraz ograniczenie dostępu lokalnego wyłącznie do zaufanych użytkowników do czasu migracji na wspierowane rozwiązanie.

Kogo dotyczy

BG-TEK Informatics Security Technologies CoslatV3 we wszystkich wersjach do 3.1069 włącznie.

Uwagi

Producent (BG-TEK Informatics Security Technologies) poinformował, że produkt CoslatV3 nie jest już objęty wsparciem technicznym, co wyklucza wydanie oficjalnego patcha. Organizacje korzystające z tego produktu powinny niezwłocznie planować migrację.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Bg Tek Coslat

    APP
    Bg-Tek
    3.0 – 3.1069
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2021-4105CRITICAL9.8ten sam vendor

Improper Handling of Parameters vulnerability in BG-TEK COSLAT Firewall allows Remote Code Inclusion. This is...