Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatności w oprogramowaniu BMC Control-M
18 marca 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-1604
Data publikacji 18 marca 2024
Producent podatnego oprogramowania BMC
Nazwa podatnego oprogramowania Control-M
Podatne wersje od 9.0.20 do 9.0.20.238, od 9.0.21 do 9.0.21.201
Typ podatności (CWE) Authorization Bypass Through User-Controlled Key (CWE-639)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2024-1605
Data publikacji 18 marca 2024
Producent podatnego oprogramowania BMC
Nazwa podatnego oprogramowania Control-M
Podatne wersje od 9.0.20 do 9.0.20.238, od 9.0.21 do 9.0.21.201
Typ podatności (CWE) Incorrect Default Permissions (CWE-276)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2024-1606
Data publikacji 18 marca 2024
Producent podatnego oprogramowania BMC
Nazwa podatnego oprogramowania Control-M
Podatne wersje od 9.0.20 do 9.0.20.238, od 9.0.21 do 9.0.21.200
Typ podatności (CWE) Improper Neutralization of Script-Related HTML Tags in a Web Page (CWE-80)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu BMC Control-M i koordynował proces ujawniania informacji.

Podatność CVE-2024-1604 występuje w module zarządzania i tworzenia raportów. Pozwala ona zalogowanym użytkownikom na odczyt i wprowadzanie nieautoryzowanych zmian w dowolnych raportach dostępnych w aplikacji, nawet bez odpowiednich uprawnień. Osoba atakująca musi znać unikatowy identyfikator raportu, który chce modyfikować. Podatność została usunięta dla gałęzi 9.0.20 w wersji 9.0.20.238, natomiast dla gałęzi 9.0.21 w wersji 9.0.21.201.

Podatność CVE-2024-1605 polega na ładowaniu (po zalogowaniu się użytkownika) wszystkich bibliotek DLL z katalogu, który pozwala na odczyt i zapis wszystkim użytkownikom. Umożliwia to załadowanie i uruchomienie potencjalnie szkodliwych bibliotek. Dla gałęzi 9.0.20 podatność została usunięta w wersji 9.0.20.238, natomiast dla gałęzi 9.0.21 w wersji 9.0.21.201.

Podatność CVE-2024-1606 pozwala na modyfikowanie generowanych stron internetowych poprzez wstrzyknięcie kodu HTML. Może to doprowadzić np. do udanego ataku phishingowego, poprzez nakłonienie użytkowników do użycia hiperłącza wskazującego na witrynę internetową kontrolowaną przez osobę atakującą. Dla gałęzi 9.0.20 podatność została usunięta w wersji 9.0.20.238, natomiast dla gałęzi 9.0.21 w wersji 9.0.21.200.

Podziękowania

Za zgłoszenie podatności dziękujemy Maksymilianowi Kubiakowi oraz Dawidowi Małeckiemu z firmy AFINE.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.