Krytyczna podatność typu Origin Validation Error w systemie Liderahenk pozwala nieuwierzytelnionemu atakującemu na dostęp do funkcji chronionych mechanizmami ACL. Wynik CVSS 9.8 wskazuje na możliwość pełnego naruszenia poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
Origin Validation Error vulnerability in TUBITAK BILGEM Software Technologies Research Institute Liderahenk allows Accessing Functionality Not Properly Constrained by ACLs. This issue affects Liderahenk: from 2.0.1 before 2.0.2.
Podatność sklasyfikowana jako CWE-346 polega na braku poprawnej weryfikacji źródła (origin) żądań przychodzących do systemu. Atakujący może wysyłać żądania sieciowe, które system błędnie uznaje za zaufane, omijając tym samym zdefiniowane listy kontroli dostępu (ACL). Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni podatność trywialną do wykorzystania zdalnie.
Atakujący może uzyskać nieautoryzowany dostęp do funkcji systemu objętych ograniczeniami ACL, co może prowadzić do pełnego naruszenia poufności, integralności oraz dostępności zasobów zarządzanych przez Liderahenk.
Należy zaktualizować Liderahenk do wersji 2.0.2 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0181
TUBITAK BILGEM Software Technologies Research Institute Liderahenk w wersjach od 2.0.1 do (wyłączając) 2.0.2.
Podatność dotyczy systemu Liderahenk — platformy do centralnego zarządzania komputerami z systemem Linux, rozwijanej przez turecką instytucję badawczą TUBITAK BILGEM. Biuletyn bezpieczeństwa opublikowany pod identyfikatorem TR-26-0181.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H