Podatność w Logo j-Platform pozwala nieuwierzytelnionemu atakującemu na dostęp do wrażliwych informacji zapisanych w plikach lub katalogach dostępnych zewnętrznie. Ocena CVSS 9.8 wskazuje na krytyczne ryzyko naruszenia poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
Insertion of Sensitive Information into Externally-Accessible File or Directory vulnerability in Logo Software Industry and Trade Inc. Logo j-Platform allows Exploiting Incorrectly Configured Access Control Security Levels. This issue affects Logo j-Platform: from 3.29.6.4 before 3.34.8.9.
Błąd klasy CWE-538 polega na tym, że aplikacja Logo j-Platform zapisuje wrażliwe dane (np. poświadczenia, tokeny, dane konfiguracyjne) w plikach lub katalogach dostępnych z zewnątrz bez odpowiednich kontroli dostępu. Atakujący może wykorzystać nieprawidłowo skonfigurowane poziomy bezpieczeństwa kontroli dostępu, aby odczytać lub zmodyfikować te dane bez konieczności uwierzytelnienia. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji użytkownika, co czyni eksploatację wyjątkowo łatwą.
Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych informacji przechowywanych w systemie, a także potencjalnie zmodyfikować dane lub zakłócić działanie aplikacji, co skutkuje pełnym naruszeniem poufności, integralności i dostępności.
Należy zaktualizować Logo j-Platform do wersji 3.34.8.9 lub nowszej. Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa producenta pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0061 oraz https://www.usom.gov.tr/bildirim/tr-26-0061
Logo j-Platform w wersjach od 3.29.6.4 do 3.34.8.9 (nie włączając 3.34.8.9) — produkt firmy Logo Software Industry and Trade Inc.
Podatność została zgłoszona przez tureckie centrum reagowania na incydenty USOM (TR-26-0061). Produkt Logo j-Platform jest platformą ERP/biznesową, stosowaną głównie na rynku tureckim.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H