W aplikacji ExonautWeb (4C Strategies Exonaut 21.6) wykryto podatność polegającą na generowaniu nadmiernie szczegółowych komunikatów błędów. Mimo iż CWE-209 typowo klasyfikowany jest jako problem ujawnienia informacji, podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co wskazuje na potencjalnie poważne konsekwencje dla poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
An issue was discovered in ExonautWeb in 4C Strategies Exonaut 21.6. There are verbose error messages.
Aplikacja ExonautWeb w wersji 21.6 zwraca użytkownikowi rozbudowane, szczegółowe komunikaty błędów (verbose error messages). Tego rodzaju komunikaty mogą ujawniać wrażliwe informacje o infrastrukturze, konfiguracji serwera, ścieżkach systemowych, stosie technologicznym lub strukturze bazy danych. Informacje te mogą być następnie wykorzystane przez atakującego do przygotowania bardziej precyzyjnych ataków na system.
Atakujący bez uwierzytelnienia, działający zdalnie, może pozyskać wrażliwe informacje techniczne o aplikacji i środowisku serwerowym, co może ułatwić przeprowadzenie dalszych ataków prowadzących do naruszenia poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się skonfigurowanie aplikacji tak, aby nie ujawniała szczegółowych komunikatów błędów użytkownikom końcowym — błędy techniczne powinny być logowane wyłącznie po stronie serwera.
4C Strategies Exonaut w wersji 21.6 (komponent ExonautWeb)
Ocena CVSS 9.8 (CRITICAL) dla podatności klasy CWE-209 (ujawnienie informacji w komunikatach błędów) jest nietypowo wysoka. Szczegóły techniczne uzasadniające tę ocenę dostępne są w referencji: https://gist.github.com/Jowu73/005ca4f85b27fb272a4e62e373341fa5
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H4cstrategies Exonaut
APP4Cstrategies21.6
Powiązane podatności
An issue was discovered in ExonautWeb in 4C Strategies Exonaut 21.6. Information disclosure can occur via an e...
An issue in 4C Strategies Exonaut before v22.4 allows attackers to execute a directory traversal.
4C Strategies Exonaut before v22.4 was discovered to contain insecure permissions.
4C Strategies Exonaut before v21.6.2.1-1 was discovered to contain a Server-Side Request Forgery (SSRF).
4C Strategies Exonaut before v22.4 was discovered to contain an access control issue.