Podatność CWE-522 (Insufficiently Protected Credentials) w OpenText Identity Manager Advanced Edition umożliwia uwierzytelnionemu użytkownikowi uzyskanie wrażliwych informacji należących do kont o wyższych uprawnieniach. Ocena CVSS 10.0 wskazuje na krytyczny wpływ zarówno na poufność, integralność, jak i dostępność systemu oraz jego otoczenia.
▸ Pokaż oryginał (EN)
Insufficiently Protected Credentials vulnerability in OpenText Identity Manager Advanced Edition on Windows, Linux, 64 bit allows Privilege Abuse. This vulnerability could allow an authenticated user to obtain higher privileged user’s sensitive information via crafted payload. This issue affects Identity Manager Advanced Edition: from 4.8.0.0 through 4.8.7.0102, 4.9.0.0.
Atakujący posiadający dostęp do systemu jako zwykły uwierzytelniony użytkownik może przesłać spreparowany payload, który pozwala na odczyt niewystarczająco chronionych poświadczeń należących do użytkowników o wyższych uprawnieniach. Mechanizm ochrony przechowywanych lub przesyłanych danych uwierzytelniających jest niewystarczający, co umożliwia ich przechwycenie i nadużycie (Privilege Abuse). Uzyskane w ten sposób dane mogą być następnie wykorzystane do działania w kontekście kont uprzywilejowanych.
Atakujący może przejąć wrażliwe informacje (w tym dane uwierzytelniające) kont uprzywilejowanych, co w praktyce może prowadzić do eskalacji uprawnień i pełnego przejęcia kontroli nad systemem zarządzania tożsamością oraz zasobami z nim powiązanymi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (portal.microfocus.com, artykuł KM000037455). Do czasu aktualizacji zaleca się ograniczenie dostępu do systemu wyłącznie do zaufanych użytkowników oraz monitorowanie aktywności kont pod kątem nieautoryzowanego dostępu do zasobów uprzywilejowanych.
OpenText Identity Manager Advanced Edition na platformach Windows i Linux (64-bit) w wersjach od 4.8.0.0 do 4.8.7.0102 oraz wersja 4.9.0.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:U/V:C/RE:H/U:Red