W komponentach OpenEdge Authentication Gateway oraz AdminServer wykryto krytyczną podatność umożliwiającą ominięcie uwierzytelniania. Podatność otrzymała maksymalny wynik CVSS 10.0, co oznacza możliwość uzyskania pełnego nieautoryzowanego dostępu przez sieć bez jakichkolwiek uprawnień.
▸ Pokaż oryginał (EN)
In OpenEdge Authentication Gateway and AdminServer prior to 11.7.19, 12.2.14, 12.8.1 on all platforms supported by the OpenEdge product, an authentication bypass vulnerability has been identified. The vulnerability is a bypass to authentication based on a failure to properly handle username and password. Certain unexpected content passed into the credentials can lead to unauthorized access without proper authentication.
Podatność wynika z nieprawidłowej obsługi nazwy użytkownika i hasła podczas procesu uwierzytelniania. Przekazanie nieoczekiwanej treści w polach danych uwierzytelniających powoduje błąd w logice weryfikacji, co skutkuje pominięciem mechanizmów kontroli dostępu. W rezultacie atakujący może uzyskać dostęp do chronionych zasobów bez podawania prawidłowych poświadczeń.
Atakujący zdalny, nieuwierzytelniony może uzyskać nieautoryzowany dostęp do systemu z potencjalnie pełnymi uprawnieniami, co zagraża poufności, integralności i dostępności chronionych danych oraz usług.
Należy niezwłocznie zaktualizować oprogramowanie do wersji 11.7.19, 12.2.14 lub 12.8.1 (odpowiednio do używanej gałęzi). Szczegółowe instrukcje dostępne są w oficjalnym komunikacie bezpieczeństwa producenta pod adresem wskazanym w referencjach.
Progress OpenEdge Authentication Gateway oraz AdminServer we wszystkich wersjach wcześniejszych niż 11.7.19, 12.2.14 oraz 12.8.1 na wszystkich platformach wspieranych przez produkt OpenEdge.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HProgress Openedge
APPProgress< 11.7.1911.8 – 12.2.14 (bez)12.3 – 12.8.1 (bez)
Powiązane podatności
Dowolne przesyłanie plików w Progress Application Server dla OpenEdge (PASOE)
Insecure default configuration in Progress Software OpenEdge 10.2x and 11.x allows unauthenticated remote atta...
Local ABL Client bypass of the required PASOE security checks may allow an attacker to commit unauthorized cod...
Host name validation for TLS certificates is bypassed when the installed OpenEdge default certificates are use...
An ActiveMQ Discovery service was reachable by default from an OpenEdge Management installation when an OEE/OE...