Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatności w oprogramowaniu CemiPark
09 maja 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-4423
Data publikacji 09 maja 2024
Producent podatnego oprogramowania CEMI Tomasz Pawełek
Nazwa podatnego oprogramowania CemiPark
Podatne wersje 4.5, 4.7, 5.03 i potencjalnie inne
Typ podatności (CWE) Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2024-4424
Data publikacji 09 maja 2024
Producent podatnego oprogramowania CEMI Tomasz Pawełek
Nazwa podatnego oprogramowania CemiPark
Podatne wersje 4.5, 4.7, 5.03 i potencjalnie inne
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2024-4425
Data publikacji 09 maja 2024
Producent podatnego oprogramowania CEMI Tomasz Pawełek
Nazwa podatnego oprogramowania CemiPark
Podatne wersje 4.5, 4.7, 5.03 i potencjalnie inne
Typ podatności (CWE) Plaintext Storage of a Password (CWE-256)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu CemiPark i koordynował proces ujawniania informacji.

Podatność CVE-2024-4423 umożliwia umożliwia pominięcie procesu uwierzytelnienia z uwagi na nieodpowiednią walidację danych wprowadzonych przez użytkownika. Atakujący, który posiada dostęp sieciowy do panelu logowania, może zalogować się z uprawnieniami administratora aplikacji.

Podatność CVE-2024-4424 polega na nieodpowiedniej walidacji danych wprowadzonych przez użytkownika, co umożliwia atak typu Stored Cross-Site Scripting. Atakujący posiadający uprawnienia administratora, może utworzyć stronę z kodem, który wykona się w momencie otworzenia strony przez innego administratora.

Podatność CVE-2024-4425 polega na przechowywaniu poświadczeń do zewnętrznych usług (np. FTP, SIP) czystym tekstem. Atakujący, który uzyskał nieautoryzowany dostęp do urządzenia może je odczytać.

Powyższe podatności dotyczą oprogramowania CemiPark w wersjach 4.5, 4.7, 5.03 (które były testowane przez znalazcę) i potencjalnie innych. Producent odmówił podania dokładnego zakresu wersji podatnego oprogramowania.

Podziękowania

Za zgłoszenie podatności dziękujemy Dariuszowi Gońda.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.