Aplikacja Agentflow firmy Flowring zawiera podatność typu Missing Authentication (CWE-288), która pozwala nieuwierzytelnionemu atakującemu zdalnie odczytywać, modyfikować i usuwać zawartość bazy danych. Zagrożenie jest krytyczne ze względu na brak jakiejkolwiek bariery dostępu do wrażliwej funkcjonalności.
▸ Pokaż oryginał (EN)
Agentflow developed by Flowring has a Missing Authentication vulnerability, allowing unauthenticated remote attackers to read, modify, and delete database contents by using a specific functionality.
Podatność wynika z braku mechanizmu uwierzytelnienia w określonej funkcjonalności systemu Agentflow. Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń, może wywołać tę funkcjonalność poprzez sieć. Skutkuje to pełnym dostępem do operacji na bazie danych — odczytu, modyfikacji oraz usuwania rekordów.
Atakujący może bez uwierzytelnienia odczytać poufne dane przechowywane w bazie danych, a także je zmodyfikować lub trwale usunąć, co może prowadzić do naruszenia integralności i poufności danych oraz zakłócenia działania systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (forum.flowring.com oraz TWCERT/CC)
Flowring Agentflow — wersje wskazane w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFlowring Agentflow
APPFlowringwszystkie wersje
Powiązane podatności
Pomijanie uwierzytelnienia w Flowring Agentflow — przejęcie tokenu dowolnego użytkownika
Flowring Agentflow — pominięcie blokady konta umożliwia atak brute force
The file upload function of Agentflow BPM has insufficient filtering for special characters in URLs. An unauth...
Agentflow developed by Flowring has an Arbitrary File Upload vulnerability, allowing authenticated remote atta...
Agentflow BPM enterprise management system has improper authentication. A remote attacker with general user pr...