CRITICAL🇬🇧 English

CVE-2024-12799

OpenText Identity Manager — ujawnienie danych uwierzytelniających uprzywilejowanych użytkowników

CVSS 10.0v4.0pub. 2025-03-05upd. 2026-04-15

Podatność CWE-522 (Insufficiently Protected Credentials) w OpenText Identity Manager Advanced Edition umożliwia uwierzytelnionemu użytkownikowi uzyskanie wrażliwych informacji należących do kont o wyższych uprawnieniach. Ocena CVSS 10.0 wskazuje na krytyczny wpływ zarówno na poufność, integralność, jak i dostępność systemu oraz jego otoczenia.

Pokaż oryginał (EN)

Insufficiently Protected Credentials vulnerability in OpenText Identity Manager Advanced Edition on Windows, Linux, 64 bit allows Privilege Abuse. This vulnerability could allow an authenticated user to obtain higher privileged user’s sensitive information via crafted payload. This issue affects Identity Manager Advanced Edition: from 4.8.0.0 through 4.8.7.0102, 4.9.0.0.

🤖 Analiza AI
Jak działa

Atakujący posiadający dostęp do systemu jako zwykły uwierzytelniony użytkownik może przesłać spreparowany payload, który pozwala na odczyt niewystarczająco chronionych poświadczeń należących do użytkowników o wyższych uprawnieniach. Mechanizm ochrony przechowywanych lub przesyłanych danych uwierzytelniających jest niewystarczający, co umożliwia ich przechwycenie i nadużycie (Privilege Abuse). Uzyskane w ten sposób dane mogą być następnie wykorzystane do działania w kontekście kont uprzywilejowanych.

Skutki

Atakujący może przejąć wrażliwe informacje (w tym dane uwierzytelniające) kont uprzywilejowanych, co w praktyce może prowadzić do eskalacji uprawnień i pełnego przejęcia kontroli nad systemem zarządzania tożsamością oraz zasobami z nim powiązanymi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (portal.microfocus.com, artykuł KM000037455). Do czasu aktualizacji zaleca się ograniczenie dostępu do systemu wyłącznie do zaufanych użytkowników oraz monitorowanie aktywności kont pod kątem nieautoryzowanego dostępu do zasobów uprzywilejowanych.

Kogo dotyczy

OpenText Identity Manager Advanced Edition na platformach Windows i Linux (64-bit) w wersjach od 4.8.0.0 do 4.8.7.0102 oraz wersja 4.9.0.0

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:U/V:C/RE:H/U:Red
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje