Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu Wyn Enterprise
21 lutego 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2024-9150
Data publikacji 21 lutego 2025
Producent podatnego oprogramowania Wyn Enterprise
Nazwa podatnego oprogramowania Wyn Enterprise
Podatne wersje Wszystkie do 8.0.00204.0
Typ podatności (CWE) Improper Neutralization of Special Elements Used in a Template Engine (CWE-1336)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu Wyn Enterprise i koordynował proces ujawniania informacji.

Funkcja generowania raportów w Wyn Enterprise pozwala na wykonywanie kodu, jednakże niewystarczająco ograniczony jest jego zakres. W efekcie atakujący może wykorzystać konto o niskich uprawnieniach, aby nadużyć tej funkcji i wykonać złośliwy kod w celu załadowania bibliotek DLL, które z kolei pozwalają na uruchomienie z wysokimi uprawnieniami poleceń systemowych na hoście, co skutkuje eskalacją uprawnień.

Podatność, której nadano CVE-2024-9150, usunięta została w wersji 8.0.00204.0

Podziękowania

Za zgłoszenie podatności dziękujemy Maksymowi Brzęczkowi (efigo.pl).

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.