CRITICAL🇬🇧 English

CVE-2024-1403

Authentication bypass w Progress OpenEdge Authentication Gateway i AdminServer

CVSS 10.0v3.1pub. 2024-02-27upd. 2025-02-11

W komponentach OpenEdge Authentication Gateway oraz AdminServer wykryto krytyczną podatność umożliwiającą ominięcie uwierzytelniania. Podatność otrzymała maksymalny wynik CVSS 10.0, co oznacza możliwość uzyskania pełnego nieautoryzowanego dostępu przez sieć bez jakichkolwiek uprawnień.

Pokaż oryginał (EN)

In OpenEdge Authentication Gateway and AdminServer prior to 11.7.19, 12.2.14, 12.8.1 on all platforms supported by the OpenEdge product, an authentication bypass vulnerability has been identified.  The vulnerability is a bypass to authentication based on a failure to properly handle username and password. Certain unexpected content passed into the credentials can lead to unauthorized access without proper authentication.  

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi nazwy użytkownika i hasła podczas procesu uwierzytelniania. Przekazanie nieoczekiwanej treści w polach danych uwierzytelniających powoduje błąd w logice weryfikacji, co skutkuje pominięciem mechanizmów kontroli dostępu. W rezultacie atakujący może uzyskać dostęp do chronionych zasobów bez podawania prawidłowych poświadczeń.

Skutki

Atakujący zdalny, nieuwierzytelniony może uzyskać nieautoryzowany dostęp do systemu z potencjalnie pełnymi uprawnieniami, co zagraża poufności, integralności i dostępności chronionych danych oraz usług.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie do wersji 11.7.19, 12.2.14 lub 12.8.1 (odpowiednio do używanej gałęzi). Szczegółowe instrukcje dostępne są w oficjalnym komunikacie bezpieczeństwa producenta pod adresem wskazanym w referencjach.

Kogo dotyczy

Progress OpenEdge Authentication Gateway oraz AdminServer we wszystkich wersjach wcześniejszych niż 11.7.19, 12.2.14 oraz 12.8.1 na wszystkich platformach wspieranych przez produkt OpenEdge.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Progress Openedge

    APP
    Progress
    < 11.7.1911.8 – 12.2.14 (bez)12.3 – 12.8.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2023-40051CRITICAL9.1PL ✓ten sam produkt

Dowolne przesyłanie plików w Progress Application Server dla OpenEdge (PASOE)

CVE-2015-9245CRITICAL9.8ten sam produkt

Insecure default configuration in Progress Software OpenEdge 10.2x and 11.x allows unauthenticated remote atta...

CVE-2024-7345HIGH8.3ten sam produkt

Local ABL Client bypass of the required PASOE security checks may allow an attacker to commit unauthorized cod...

CVE-2024-7346HIGH7.2ten sam produkt

Host name validation for TLS certificates is bypassed when the installed OpenEdge default certificates are use...

CVE-2024-7654HIGH8.3ten sam produkt

An ActiveMQ Discovery service was reachable by default from an OpenEdge Management installation when an OEE/OE...