| CVE ID | CVE-2024-8773 |
| Data publikacji | 24 marca 2025 |
| Producent podatnego oprogramowania | Simple SA |
| Nazwa podatnego oprogramowania | SIMPLE.ERP |
| Podatne wersje | Od 6.20 do [email protected] |
| Typ podatności (CWE) | Selection of Less-Secure Algorithm During Negotiation ('Algorithm Downgrade') (CWE-757) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-8774 |
| Data publikacji | 24 marca 2025 |
| Producent podatnego oprogramowania | Simple SA |
| Nazwa podatnego oprogramowania | SIMPLE.ERP |
| Podatne wersje | Od 6.20 do [email protected] |
| Typ podatności (CWE) | Storing Passwords in a Recoverable Format (CWE-257) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu SIMPLE.ERP i koordynował proces ujawniania informacji.
Podatność CVE-2024-8773 pozwala na obniżenie wersji protokołu MS SQL do postaci niezaszyfrowanej. Aplikacja akceptuje żądania downgrade protokołu nadchodzące ze strony serwera, co umożliwia podsłuchanie i modyfikację komunikacji w przypadku ataku "Man in the middle" podszywającego się pod właściwy serwer.
Podatność CVE-2024-8774 polega na przechowywaniu poświadczeń specjalnego konta administratora w sposób odwracalny. Możliwe jest w ten sposób eskalowanie uprawnień do administratora bazy danych przez dowolnego użytkownika systemu.
Powyższe podatności dotyczą SIMPLE.ERP w wersji od 6.20 do 6.30. Wersja [email protected] usuwa obie podatności, w tym umożliwia wymuszenie przez administratora szyfrowanej komunikacji, podczas gdy wersje 6.20 oraz 6.25 pozostają bez wsparcia producenta i odpowiednich aktualizacji bezpieczeństwa.
Podziękowania
Za zgłoszenie podatności dziękujemy dr. inż. Marcinowi Ochabowi.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.