CRITICAL🇬🇧 English

CVE-2024-27767

Pominięcie uwierzytelnienia w Unitronics Unilogic (Authentication Bypass)

CVSS 10.0v3.1pub. 2024-03-18upd. 2025-03-10

Krytyczna podatność w oprogramowaniu Unitronics Unilogic umożliwia nieuwierzytelnionemu atakującemu zdalne ominięcie mechanizmu uwierzytelnienia. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — atakujący nie potrzebuje żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

CWE-287: Improper Authentication may allow Authentication Bypass

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji mechanizmu uwierzytelnienia (CWE-287: Improper Authentication). Atakujący zdalny, bez posiadania jakichkolwiek danych uwierzytelniających, może obejść procedury weryfikacji tożsamości w aplikacji. Ze względu na wektor sieciowy (AV:N) i brak wymaganych uprawnień (PR:N), exploitacja jest możliwa bezpośrednio przez sieć bez konieczności wcześniejszego dostępu do systemu.

Skutki

Udana exploitacja pozwala atakującemu uzyskać nieautoryzowany dostęp do systemu z potencjalnie pełną kontrolą nad poufnością, integralnością i dostępnością danych oraz funkcji aplikacji, co odpowiada maksymalnemu wpływowi wskazanemu przez CVSS (C:H/I:H/A:H) z rozszerzonym zakresem oddziaływania (S:C).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Rekomenduje się również ograniczenie dostępu sieciowego do systemów Unilogic poprzez firewall oraz izolację środowisk OT/ICS od sieci publicznych do czasu wdrożenia aktualizacji.

Kogo dotyczy

Oprogramowanie Unitronics Unilogic — wersje wskazane w referencjach producenta

Uwagi

Podatność dotyczy oprogramowania Unitronics Unilogic stosowanego w środowiskach przemysłowych (ICS/OT). Szczegółowe informacje zostały opublikowane przez izraelski organ rządowy (gov.il). Ze względu na krytyczną ocenę CVSS 10.0 i zastosowanie w infrastrukturze przemysłowej, zaleca się pilne działania nawet przy braku potwierdzonych przypadków exploitacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Unitronics Unilogic

    APP
    Unitronics
    < 1.35.227
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-27768CRITICAL9.8PL ✓ten sam produkt

Path Traversal w Unitronics Unilogic umożliwiający RCE

CVE-2024-27769HIGH8.8ten sam produkt

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-200: Exposure of Sensitive Information to ...

CVE-2024-27770HIGH8.8ten sam produkt

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-23: Relative Path Traversal

CVE-2024-27771HIGH8.8ten sam produkt

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-22: 'Path Traversal' may allow RCE

CVE-2024-27772HIGH8.8ten sam produkt

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-78: 'OS Command Injection' may allow RCE

CVE-2024-27767 — Pominięcie uwierzytelnienia w Unitronics Unilogic (Authentication Bypass) — CRITICAL 10.0 | CVEbaza.pl