CRITICAL🇬🇧 English

CVE-2024-38883

Caterease: obniżenie poziomu szyfrowania przez wybór słabszego algorytmu

CVSS 9.1v3.1pub. 2024-08-02upd. 2026-07-05

Podatność w oprogramowaniu Horizon Business Services Inc. Caterease umożliwia zdalnemu atakującemu przeprowadzenie ataku typu Drop Encryption Level, polegającego na wymuszeniu negocjacji słabszego algorytmu kryptograficznego. Zagrożenie jest krytyczne, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika, a może prowadzić do ujawnienia i modyfikacji przesyłanych danych.

Pokaż oryginał (EN)

An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versions, allows a remote attacker to perform a Drop Encryption Level attack due to the selection of a less-secure algorithm during negotiation.

🤖 Analiza AI
Jak działa

Podczas nawiązywania połączenia sieciowego aplikacja Caterease dopuszcza negocjację mniej bezpiecznych algorytmów szyfrowania (CWE-757: Selection of Less-Secure Algorithm During Negotiation). Atakujący może zmusić obie strony komunikacji do uzgodnienia słabszego protokołu lub szyfru, co skutkuje obniżeniem rzeczywistego poziomu ochrony transmisji. Dzięki temu możliwe staje się przechwycenie lub manipulacja danymi przesyłanymi między klientem a serwerem.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przesyłanych przez aplikację oraz potencjalnie je zmodyfikować, co zagraża zarówno poufności, jak i integralności komunikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również skonfigurowanie środowiska sieciowego tak, aby wymuszało stosowanie wyłącznie silnych algorytmów szyfrowania po stronie serwera, oraz monitorowanie ruchu sieciowego pod kątem prób negocjacji słabszych szyfrów.

Kogo dotyczy

Horizon Business Services Inc. Caterease w wersjach od 16.0.1.1663 do 24.0.1.2405 włącznie oraz potencjalnie nowszych wersjach.

Uwagi

W referencjach wskazano zasób Packet Storm Security zawierający materiały dotyczące podatności w oprogramowaniu Caterease, w tym SQL Injection oraz Command Injection — mogą istnieć dodatkowe podatności w tym samym produkcie opisane w tym samym dokumencie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Horizoncloud Caterease

    APP
    Horizoncloud
    16.0.1.1663 – 24.0.1.2405
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-38886CRITICAL9.8PL ✓ten sam produkt

Traffic Injection w Horizoncloud Caterease – brak weryfikacji źródła komunikacji

CVE-2024-38887CRITICAL9.8PL ✓ten sam produkt

Command Injection w Horizoncloud Caterease — zdalne przejęcie systemu OS

CVE-2024-38889CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Horizoncloud Caterease — zdalne wykonanie zapytań

CVE-2024-38882CRITICAL9.8PL ✓ten sam produkt

SQL Injection umożliwiający command injection w Horizoncloud Caterease

CVE-2024-38891HIGH7.5ten sam produkt

An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versio...

CVE-2024-38883 — Caterease: obniżenie poziomu szyfrowania przez wybór słabszego algorytmu — CRITICAL 9.1 | CVEbaza.pl