CRITICAL🇬🇧 English

CVE-2025-67793

DriveLock — nieautoryzowana eskalacja uprawnień do roli Supervisor przez API

CVSS 9.8v3.1pub. 2025-12-17upd. 2026-01-02

W aplikacji DriveLock wykryto podatność klasy privilege escalation (CWE-269), pozwalającą użytkownikom z uprawnieniem 'Manage roles and permissions' na nadanie sobie lub innym użytkownikom roli Supervisor poprzez wywołanie API. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL) ze względu na brak wymagań dotyczących uwierzytelnienia specjalnego i pełny zakres skutków.

Pokaż oryginał (EN)

An issue was discovered in DriveLock 24.1 through 24.1.*, 24.2 through 24.2.*, and 25.1 before 25.1.6. Users with the "Manage roles and permissions" privilege can promote themselves or other DOC users to the Supervisor role through an API call. This privilege is included by default in the Administrator role. This issue mainly affects cloud multi-tenant deployments; on-prem single-tenant installations are typically not impacted because local admins usually already have Supervisor privileges.

🤖 Analiza AI
Jak działa

Użytkownik posiadający uprawnienie 'Manage roles and permissions' (domyślnie przypisane do roli Administrator) może wykonać specjalnie spreparowane wywołanie API, które skutkuje awansowaniem własnego konta lub konta innego użytkownika DOC do roli Supervisor. Rola Supervisor posiada wyższy poziom uprawnień niż Administrator, co oznacza, że atakujący uzyskuje pełną kontrolę nad systemem. Problem wynika z braku odpowiedniej walidacji po stronie serwera — API nie weryfikuje, czy użytkownik wywołujący żądanie jest uprawniony do przyznawania roli Supervisor.

Skutki

Atakujący może uzyskać najwyższy poziom uprawnień w systemie DriveLock (rola Supervisor), co umożliwia pełne przejęcie kontroli nad konfiguracją, politykami bezpieczeństwa i danymi zarządzanymi przez platformę, w tym w środowiskach wielodostępnych (multi-tenant) w chmurze.

Mitygacja

Należy zaktualizować DriveLock do wersji 25.1.6 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://drivelock.help/sb/Content/SecurityBulletins/25-008-DESPrivilegeEsc.htm. W środowiskach chmurowych multi-tenant należy priorytetowo przeprowadzić aktualizację oraz zweryfikować przypisania ról użytkowników pod kątem nieautoryzowanych zmian.

Kogo dotyczy

DriveLock w wersjach 24.1.x, 24.2.x oraz 25.1 przed 25.1.6. Problem w głównej mierze dotyczy wdrożeń chmurowych w trybie multi-tenant; instalacje on-premise w trybie single-tenant są zazwyczaj niepodatne, ponieważ lokalni administratorzy z reguły posiadają już uprawnienia Supervisora.

Uwagi

Podatność dotyczy przede wszystkim wdrożeń chmurowych w modelu multi-tenant. Instalacje on-premise w trybie single-tenant są według producenta typowo niepodatne na to zagrożenie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Drivelock

    APP
    Drivelock
    24.1 – 24.1.624.2 – 24.2.825.1 – 25.1.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-67781CRITICAL9.9PL ✓ten sam produkt

DriveLock — eskalacja uprawnień przez manipulację procesami uprzywilejowanymi

CVE-2025-67787CRITICAL9.6PL ✓ten sam produkt

XSS w DriveLock Operations Center umożliwiający przejęcie sesji

CVE-2025-67791CRITICAL9.8PL ✓ten sam produkt

DriveLock — obejście uwierzytelniania agenta (Auth Bypass) w DES

CVE-2025-55187CRITICAL9.9PL ✓ten sam produkt

DriveLock — privilege escalation umożliwiające przejęcie kontroli nad systemem

CVE-2025-67790HIGH7.5ten sam produkt

An issue was discovered in DriveLock 24.1 before 24.1.6, 24.2 before 24.2.7, and 25.1 before 25.1.5. An unpriv...