System kadrowo-płacowy A+HRD firmy aEnrich zawiera podatność typu Authentication Abuse (CWE-1390), umożliwiającą nieuwierzytelnionemu atakującemu zdalne sfałszowanie tokenów dostępu na poziomie administratora. Pozwala to na pełne przejęcie systemu bez znajomości jakichkolwiek danych uwierzytelniających.
▸ Pokaż oryginał (EN)
The a+HRD developed by aEnrich has an Authentication Abuse vulnerability, allowing unauthenticated remote attackers to craft administrator access tokens and use them to access the system with elevated privileges.
Podatność wynika z wadliwego mechanizmu generowania lub weryfikacji tokenów dostępu administracyjnego w aplikacji A+HRD. Atakujący zdalnie, bez posiadania żadnych poświadczeń, jest w stanie samodzielnie skonstruować (spreparować) prawidłowo wyglądający token dostępu administratora. Tak przygotowany token jest akceptowany przez system, co skutkuje uzyskaniem pełnych uprawnień administracyjnych bez przechodzenia przez właściwy proces uwierzytelnienia.
Atakujący uzyskuje nieautoryzowany dostęp do systemu z uprawnieniami administratora, co umożliwia odczyt, modyfikację lub usunięcie wrażliwych danych kadrowych i płacowych, a także dalsze działania w środowisku ofiary.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (TWCERT: https://www.twcert.org.tw/en/cp-139-10487-12a32-2.html). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do systemu A+HRD wyłącznie do zaufanych adresów IP poprzez firewall lub VPN.
System A+HRD rozwijany przez aEnrich; konkretne wersje wskazane w referencjach producenta.
Podatność została ujawniona przez TWCERT (Taiwan Computer Emergency Response Team) oraz CHT Security. Ocena CVSS 9.3 (CRITICAL) według wektora CVSS 4.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAenrich A\+hrd
APPAenrich≤ 7.5
Powiązane podatności
Authentication Abuse w aEnrich a+HRD — przejęcie tokenu administratora
SQL Injection w Aenrich A+HRD — nieuwierzytelniony zdalny dostęp do bazy danych
aEnrich Technology a+HRD has a vulnerability of Deserialization of Untrusted Data within its MSMQ interpreter....
aEnrich Technology a+HRD has a vulnerability of Deserialization of Untrusted Data within its MSMQ asynchronize...
aEnrich a+HRD has insufficient user input validation for specific API parameter. An unauthenticated remote att...