CRITICAL🇬🇧 English

CVE-2024-29836

Auth Bypass w Evolution Controller — nieautoryzowane przejęcie kont

CVSS 9.8v3.1pub. 2024-04-15upd. 2025-12-10

Interfejs webowy Evolution Controller w wersjach 2.04.560.31.03.2024 i wcześniejszych zawiera błędnie skonfigurowaną kontrolę dostępu. Niezalogowany atakujący może dodawać i modyfikować profile użytkowników, uzyskując pełną kontrolę nad aplikacją.

Pokaż oryginał (EN)

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below contains poorly configured access control, allowing for an unauthenticated attacker to update and add user profiles within the application, and gain full access of the site.

🤖 Analiza AI
Jak działa

Aplikacja webowa Evolution Controller nie wymaga uwierzytelnienia do wykonywania operacji na profilach użytkowników. Błędna konfiguracja mechanizmu kontroli dostępu (CWE-284) pozwala nieuwierzytelnionemu atakującemu na wysyłanie żądań do endpointów zarządzania użytkownikami. W efekcie atakujący może tworzyć nowe konta lub modyfikować istniejące profile, a następnie zalogować się z pełnymi uprawnieniami.

Skutki

Atakujący bez żadnego uwierzytelnienia może uzyskać pełny dostęp do aplikacji Evolution Controller, w tym do zarządzania użytkownikami i wszystkimi funkcjami systemu. Skutkuje to całkowitym naruszeniem poufności, integralności i dostępności aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecane jest również ograniczenie dostępu do interfejsu webowego Evolution Controller wyłącznie do zaufanych sieci lub adresów IP na poziomie firewall do czasu wdrożenia aktualizacji.

Kogo dotyczy

Cs-Technologies Evolution Controller w wersji 2.04.560.31.03.2024 i wcześniejszych.

Uwagi

Podatność została opublikowana przez australijską firmę Direct Cyber w ramach zbiorczego raportu obejmującego CVE-2024-29836 do CVE-2024-29844, dotyczącego wielu podatności w Evolution Controller.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Cs Technologies Evolution

    APP
    Cs-Technologies
    ≤ 2.04.560
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-29844CRITICAL9.8PL ✓ten sam produkt

Domyślne dane logowania w Evolution Controller 2.x umożliwiają pełen dostęp administracyjny

CVE-2024-29838HIGH7.5ten sam produkt

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below does not proper sanitize user...

CVE-2024-29839HIGH7.5ten sam produkt

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below contains poorly configured ac...

CVE-2024-29840HIGH7.5ten sam produkt

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below contains poorly configured ac...

CVE-2024-29837HIGH8.8ten sam produkt

The Web interface of Evolution Controller Versions 2.04.560.31.03.2024 and below uses poor session management,...