CRITICAL🇬🇧 English

CVE-2024-38337

IBM Sterling Secure Proxy — nieprawidłowe uprawnienia umożliwiają dostęp do wrażliwych danych

CVSS 9.1v3.1pub. 2025-01-19upd. 2025-07-25

IBM Sterling Secure Proxy w wersjach 6.0.0.0–6.2.0.0 zawiera krytyczną podatność wynikającą z nieprawidłowego przypisania uprawnień do zasobów. Nieuwierzytelniony atakujący może zdalnie odczytać lub zmodyfikować wrażliwe informacje, co czyni tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

IBM Sterling Secure Proxy 6.0.0.0, 6.0.0.1, 6.0.0.2, 6.0.0.3, 6.1.0.0, and 6.2.0.0 could allow an unauthorized attacker to retrieve or alter sensitive information contents due to incorrect permission assignments.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-732 (Incorrect Permission Assignment for Critical Resource) polega na tym, że określone zasoby lub pliki w produkcie IBM Sterling Secure Proxy posiadają zbyt liberalne uprawnienia dostępu. Atakujący bez żadnego uwierzytelnienia może, przez sieć, uzyskać dostęp do tych zasobów i odczytać bądź zmienić ich zawartość. Wektor ataku sieciowy oraz brak wymagań co do uprawnień i interakcji użytkownika sprawiają, że eksploatacja jest stosunkowo prosta.

Skutki

Nieuwierzytelniony atakujący może uzyskać nieautoryzowany odczyt wrażliwych danych (naruszenie poufności) lub ich nieuprawnioną modyfikację (naruszenie integralności), co może prowadzić do kompromitacji konfiguracji proxy, danych uwierzytelniających lub innych krytycznych informacji przetwarzanych przez system.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o poprawkach dostępne są pod adresem: https://www.ibm.com/support/pages/node/7179166. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do instancji IBM Sterling Secure Proxy wyłącznie do zaufanych hostów i sieci.

Kogo dotyczy

IBM Sterling Secure Proxy w wersjach: 6.0.0.0, 6.0.0.1, 6.0.0.2, 6.0.0.3, 6.1.0.0 oraz 6.2.0.0, działający na platformach IBM AIX oraz IBM Linux on IBM Z.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • IBM Aix

    OS
    Ibm
    wszystkie wersje
  • IBM Linux On IBM Z

    OS
    Ibm
    wszystkie wersje
  • IBM Sterling Secure Proxy

    APP
    Ibm
    6.1.0.06.2.0.06.0.0.0 – 6.0.3.1 (bez)
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit