Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatności w oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions
18 grudnia 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-4995
Data publikacji 18 grudnia 2024
Producent podatnego oprogramowania Asseco Business Solutions S.A.
Nazwa podatnego oprogramowania Wapro ERP Desktop
Podatne wersje Wszystkie do 9.00.0
Typ podatności (CWE) Missing Encryption of Sensitive Data (CWE-311)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2024-4996
Data publikacji 18 grudnia 2024
Producent podatnego oprogramowania Asseco Business Solutions S.A.
Nazwa podatnego oprogramowania Wapro ERP Desktop
Podatne wersje Wszystkie do 8.90.0
Typ podatności (CWE) Use of Hard-coded Credentials (CWE-798)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions i koordynował proces ujawniania informacji.

Podatność CVE-2024-4995 pozwala na obniżenie wersji protokołu MS SQL do takiej, w której komunikacja jest nieszyfrowana. Aplikacja kliencka akceptuje takie żądanie nadchodzące ze strony serwera, co umożliwia podsłuchanie i modyfikację komunikacji. Ten problem dotyczy oprogramowania Wapro ERP Desktop do wersji 9.00.0.

Podatność CVE-2024-4996 umożliwia uzyskanie dostępu do informacji przechowywanych w bazie danych. To samo, zakodowane na stałe hasło do specjalnego konta w bazie, jest używane we wszystkich podatnych instalacjach programu. Ten problem dotyczy oprogramowania Wapro ERP Desktop do wersji 8.90.0.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.