IBM Maximo Application Suite w wersjach 9.0.0–9.0.15 oraz 9.1.0–9.1.4 zawiera krytyczną lukę umożliwiającą zdalnemu atakującemu ominięcie mechanizmów uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji. Podatność nie wymaga żadnych uprawnień ani interakcji użytkownika, co czyni ją wyjątkowo groźną.
▸ Pokaż oryginał (EN)
IBM Maximo Application Suite 9.0.0 through 9.0.15 and 9.1.0 through 9.1.4 could allow a remote attacker to bypass authentication mechanisms and gain unauthorized access to the application.
Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) wskazuje na błąd w implementacji mechanizmu uwierzytelniania, który można obejść bez posiadania prawidłowych danych logowania. Atakujący sieciowy może wysłać spreparowane żądanie do aplikacji i uzyskać dostęp do chronionych zasobów, omijając standardowe kontrole tożsamości. Ze względu na wektor sieciowy (AV:N) i brak wymagań wstępnych (PR:N, AC:L), atak może być przeprowadzony przez każdego zdalnego użytkownika z dostępem do interfejsu aplikacji.
Atakujący może uzyskać pełny, nieautoryzowany dostęp do aplikacji IBM Maximo Application Suite, co grozi naruszeniem poufności, integralności i dostępności danych — w tym wrażliwych danych operacyjnych i konfiguracyjnych zarządzanych aktywów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7249416
IBM Maximo Application Suite w wersjach 9.0.0 do 9.0.15 oraz 9.1.0 do 9.1.4
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIBM Maximo Application Suite
APPIbm9.0 – 9.0.159.1.0 – 9.1.4
Powiązane podatności
IBM Maximo Application Suite 9.0 could allow an attacker with some level of access to elevate their privileges...
IBM Maximo Application Suite 8.10 and 8.11 could allow a remote attacker to traverse directories on the system...
IBM Maximo Application Suite 7.6.1.3 is vulnerable to an XML External Entity Injection (XXE) attack when proce...
IBM Maximo Asset Management 7.6.1.1 and 7.6.1.2 could allow a remote attacker to obtain sensitive information ...
IBM Maximo Asset Management 7.6.1.1 and 7.6.1.2 is vulnerable to HTTP header injection, caused by improper val...