eScan Management Console 14.0.1400.2281 zawiera krytyczną podatność nieprawidłowej kontroli dostępu (Incorrect Access Control) w komponencie acteScanAVReport. Umożliwia ona nieuwierzytelnionemu atakującemu zdalny dostęp do chronionych zasobów lub funkcji systemu.
▸ Pokaż oryginał (EN)
eScan Management Console 14.0.1400.2281 is vulnerable to Incorrect Access Control via acteScanAVReport.
Podatność wynika z nieprawidłowej implementacji mechanizmów kontroli dostępu w module acteScanAVReport konsoli zarządzania eScan. Atakujący może wysłać odpowiednio spreparowane żądanie sieciowe bez konieczności uwierzytelnienia, ponieważ aplikacja nie weryfikuje prawidłowo uprawnień do dostępu do tego komponentu. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani specjalnych uprawnień, co czyni podatność szczególnie niebezpieczną.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować dane lub konfigurację systemu oraz potencjalnie doprowadzić do niedostępności usługi — co odpowiada pełnemu naruszeniu poufności, integralności i dostępności (C:H/I:H/A:H).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu do konsoli zarządzania eScan na poziomie sieci (firewall) wyłącznie do zaufanych adresów IP do czasu wdrożenia poprawki.
eScan Management Console w wersji 14.0.1400.2281
Publiczny opis podatności oraz materiały dowodowe (proof-of-concept) zostały opublikowane w repozytorium GitHub pod adresem https://github.com/jeyabalaji711/CVE-2024-42919.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HEscanav Escan Management Console
APPEscanav14.0.1400.2281
Powiązane podatności
Privilege Escalation in the "GetUserCurrentPwd" function in Microworld Technologies eScan Management Console 1...
Cross Site Scripting (XSS) in the edit user form in Microworld Technologies eScan management console 14.0.1400...
SQL injection in the View User Profile in MicroWorld eScan Management Console 14.0.1400.2281 allows remote att...
A Cross Site Scripting vulnerability in Microworld Technologies eScan Management console v.14.0.1400.2281 allo...
A Cross Site Scripting vulnerability in Microworld Technologies eScan Management console v.14.0.1400.2281 allo...