Podatność umożliwia zdalne wykonanie kodu (RCE) w komponencie Open Management Infrastructure (OMI) firmy Microsoft. Oceniona jako krytyczna z wynikiem CVSS 9.8, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni ją szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Open Management Infrastructure (OMI) Remote Code Execution Vulnerability
Podatność sklasyfikowana jest jako CWE-416 (use-after-free), co oznacza, że atakujący może doprowadzić do odwołania się procesu OMI do obszaru pamięci, który został już zwolniony. Poprzez sieć, bez żadnych wymaganych uprawnień, możliwe jest wywołanie nieprzewidywalnego zachowania procesu i przejęcie kontroli nad wykonaniem kodu. Wektor ataku jest sieciowy, a złożoność ataku niska, co oznacza niską barierę wejścia dla potencjalnego napastnika.
Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (RCE) w kontekście procesu OMI, co może prowadzić do pełnego przejęcia kontroli nad systemem, naruszenia poufności i integralności danych oraz utraty dostępności usług.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja opisana w Microsoft Security Response Center pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21334
Microsoft Open Management Infrastructure oraz Microsoft System Center Operations Manager — wersje wskazane w referencjach producenta
Podatność opublikowana 2024-03-12 w ramach cyklu Patch Tuesday firmy Microsoft.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Open Management Infrastructure
APPMicrosoft< 1.8.1-0Microsoft System Center Operations Manager
APPMicrosoft20192022
Powiązane podatności
Open Management Infrastructure Remote Code Execution Vulnerability
Open Management Infrastructure Elevation of Privilege Vulnerability
Open Management Infrastructure Elevation of Privilege Vulnerability
Open Management Infrastructure Elevation of Privilege Vulnerability
Improper input validation in System Center Operations Manager allows an authorized attacker to elevate privile...