Podatności w oprogramowaniu EZD RP

CVE ID	CVE-2024-7265
Data publikacji	07 sierpnia 2024
Producent podatnego oprogramowania	Naukowa i Akademicka Sieć Komputerowa - Państwowy Instytut Badawczy
Nazwa podatnego oprogramowania	EZD RP
Podatne wersje	Od 15 do 15.84, od 16 do 16.15, od 17 do 17.2
Typ podatności (CWE)	Incorrect User Management (CWE-286)
Źródło zgłoszenia	Badania własne NASK
CVE ID	CVE-2024-7266
Data publikacji	07 sierpnia 2024
Producent podatnego oprogramowania	Naukowa i Akademicka Sieć Komputerowa - Państwowy Instytut Badawczy
Nazwa podatnego oprogramowania	EZD RP
Podatne wersje	Od 15 do 15.84, od 16 do 16.15, od 17 do 17.2
Typ podatności (CWE)	Incorrect User Management (CWE-286)
Źródło zgłoszenia	Badania własne NASK
CVE ID	CVE-2024-7267
Data publikacji	07 sierpnia 2024
Producent podatnego oprogramowania	Naukowa i Akademicka Sieć Komputerowa - Państwowy Instytut Badawczy
Nazwa podatnego oprogramowania	EZD RP
Podatne wersje	Wszystkie do 19.6
Typ podatności (CWE)	Exposure of Sensitive Information Due to Incompatible Policies (CWE-213)
Źródło zgłoszenia	Badania własne NASK

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w rozwijanym przez NASK - PIB oprogramowaniu EZD RP i koordynował proces ujawniania informacji.

Podatność CVE-2024-7265 umożliwia użytkownikowi zmianę hasła dowolnego użytkownika, w tym użytkownika "root", co umożliwia eskalację uprawnień. Podatność CVE-2024-7266 umożliwia użytkownikowi wylistowanie wszystkich użytkowników w systemie, również tych z innych organizacji. Powyższe podatności dotyczą oprogramowania EZD RP w wersjach od 15 do 15.84, od 16 do 16.15, od 17 do 17.2.

Podatność CVE-2024-7267 umożliwia użytkownikowi pozyskanie informacji o infrastruturze IP, loginu i hasła systemu EZD RP. Podatność dotyczy EZD RP w wersjach do 19.6.

Podziękowania

Za zgłoszenie podatności dziękujemy Jakubowi Płatkowi (NASK-PIB).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.