| CVE ID | CVE-2024-4995 |
| Data publikacji | 18 grudnia 2024 |
| Producent podatnego oprogramowania | Asseco Business Solutions S.A. |
| Nazwa podatnego oprogramowania | Wapro ERP Desktop |
| Podatne wersje | Wszystkie do 9.00.0 |
| Typ podatności (CWE) | Missing Encryption of Sensitive Data (CWE-311) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-4996 |
| Data publikacji | 18 grudnia 2024 |
| Producent podatnego oprogramowania | Asseco Business Solutions S.A. |
| Nazwa podatnego oprogramowania | Wapro ERP Desktop |
| Podatne wersje | Wszystkie do 8.90.0 |
| Typ podatności (CWE) | Use of Hard-coded Credentials (CWE-798) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions i koordynował proces ujawniania informacji.
Podatność CVE-2024-4995 pozwala na obniżenie wersji protokołu MS SQL do takiej, w której komunikacja jest nieszyfrowana. Aplikacja kliencka akceptuje takie żądanie nadchodzące ze strony serwera, co umożliwia podsłuchanie i modyfikację komunikacji. Ten problem dotyczy oprogramowania Wapro ERP Desktop do wersji 9.00.0.
Podatność CVE-2024-4996 umożliwia uzyskanie dostępu do informacji przechowywanych w bazie danych. To samo, zakodowane na stałe hasło do specjalnego konta w bazie, jest używane we wszystkich podatnych instalacjach programu. Ten problem dotyczy oprogramowania Wapro ERP Desktop do wersji 8.90.0.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.