CRITICAL🇬🇧 English

CVE-2024-24722

Niecytowana ścieżka usługi w 12d Synergy Server i File Replication Server

CVSS 9.1v3.1pub. 2024-02-19upd. 2025-04-02

Podatność typu unquoted service path w komponentach 12d Synergy Server oraz File Replication Server umożliwia nieuwierzytelnionemu atakującemu zdalne uzyskanie podwyższonych uprawnień. Ze względu na brak konieczności uwierzytelnienia i sieciowy wektor ataku, zagrożenie jest oceniane jako krytyczne.

Pokaż oryginał (EN)

An unquoted service path vulnerability in the 12d Synergy Server and File Replication Server components may allow an attacker to gain elevated privileges via the 12d Synergy Server and/or 12d Synergy File Replication Server executable service path. This is fixed in 4.3.10.192, 5.1.5.221, and 5.1.6.235.

🤖 Analiza AI
Jak działa

Podatność wynika z niepoprawnego podania ścieżki do pliku wykonywalnego usługi Windows bez użycia cudzysłowów (unquoted service path, CWE-428). Gdy ścieżka zawiera spacje i nie jest ujęta w cudzysłowy, system Windows podczas uruchamiania usługi może omyłkowo wykonać inny plik umieszczony przez atakującego we wcześniejszym segmencie ścieżki. Atakujący, który zdoła umieścić złośliwy plik wykonywalny w odpowiedniej lokalizacji, może spowodować jego uruchomienie w kontekście usługi systemu Windows, często z wysokimi uprawnieniami.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie operacyjnym, co w praktyce może prowadzić do privilege escalation i przejęcia kontroli nad serwerem. Zagrożone są zarówno poufność, jak i integralność danych.

Mitygacja

Należy zaktualizować oprogramowanie do wersji 4.3.10.192, 5.1.5.221 lub 5.1.6.235, w których producent naprawił podatność. Patche i szczegóły dostępne są pod adresem https://help.12dsynergy.com/v1/docs/cve-2024-24722 oraz na stronie producenta https://www.12dsynergy.com/security-statement/.

Kogo dotyczy

12d Synergy Server oraz 12d Synergy File Replication Server we wszystkich wersjach poprzedzających 4.3.10.192, 5.1.5.221 oraz 5.1.6.235.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • 12dsynergy

    APP
    12Dsynergy
    < 4.3.10.1925.1.1.58 – 5.1.5.221 (bez)5.1.6.210 – 5.1.6.235 (bez)
  • 12dsynergy File Replication Server

    APP
    12Dsynergy
    < 4.3.10.1925.1.1.58 – 5.1.5.221 (bez)5.1.6.210 – 5.1.6.235 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje