| CVE ID | CVE-2025-1415 |
| Data publikacji | 21 maja 2025 |
| Producent podatnego oprogramowania | Proget |
| Nazwa podatnego oprogramowania | Proget |
| Podatne wersje | Wszystkie do 2.17.5 |
| Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-1416 |
| Data publikacji | 21 maja 2025 |
| Producent podatnego oprogramowania | Proget |
| Nazwa podatnego oprogramowania | Proget |
| Podatne wersje | Wszystkie do 2.17.5 |
| Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-1417 |
| Data publikacji | 21 maja 2025 |
| Producent podatnego oprogramowania | Proget |
| Nazwa podatnego oprogramowania | Proget |
| Podatne wersje | Wszystkie do 2.17.5 |
| Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-1418 |
| Data publikacji | 21 maja 2025 |
| Producent podatnego oprogramowania | Proget |
| Nazwa podatnego oprogramowania | Proget |
| Podatne wersje | Wszystkie do 2.17.5 |
| Typ podatności (CWE) | Incorrect Authorization (CWE-863) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-1419 |
| Data publikacji | 21 maja 2025 |
| Producent podatnego oprogramowania | Proget |
| Nazwa podatnego oprogramowania | Proget |
| Podatne wersje | Wszystkie do 2.17.5 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-1420 |
| Data publikacji | 21 maja 2025 |
| Producent podatnego oprogramowania | Proget |
| Nazwa podatnego oprogramowania | Proget |
| Podatne wersje | Wszystkie do 2.17.5 |
| Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-1421 |
| Data publikacji | 21 maja 2025 |
| Producent podatnego oprogramowania | Proget |
| Nazwa podatnego oprogramowania | Proget |
| Podatne wersje | Wszystkie do 2.17.5 |
| Typ podatności (CWE) | Improper Neutralization of Formula Elements in a CSV File (CWE-1236) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Konsola Proget (część serwerowa pakietu MDM) i koordynował proces ujawniania informacji.
Podatność CVE-2025-1415: Użytkownik z niskimi uprawnieniami może uzyskać informacje o zadaniach wykonywanych na urządzeniach zarządzanych przez Proget MDM, a także szczegóły dotyczące tych urządzeń, takie jak ich UUID, które są niezbędne do wykorzystania podatności CVE-2025-1416.
Aby przeprowadzić atak, konieczna jest znajomość task_id, jednak ponieważ są to zazwyczaj niskie liczby całkowite i nie ma limitu zapytań kierowanych do podatnego endpointu, task_id może zostać łatwo odgadnięte metodą brute force.
Podatność CVE-2025-1416: Użytkownik z niskimi uprawnieniami może pobrać hasła do zarządzanych urządzeń i następnie korzystać z funkcji ograniczonych przez MDM. Aby to było możliwe, musi znać UUID docelowych urządzeń, które mogą zostać pozyskane przez wykorzystanie CVE-2025-1415 lub CVE-2025-1417.
Podatność CVE-2025-1417: Użytkownik z niskimi uprawnieniami może uzyskać dostęp do informacji o zmianach zawartych w kopiach zapasowych wszystkich urządzeń zarządzanych przez MDM. Informacje te obejmują identyfikatory użytkowników, adresy e-mail, imiona, nazwiska oraz UUID urządzeń. Te ostatnie mogą zostać wykorzystane do eksploatacji CVE-2025-1416.
Skuteczne wykorzystanie podatności wymaga znajomości UUID konkretnej kopii zapasowej, który nie może zostać odgadnięty metodą brute force.
Podatność CVE-2025-1418: Użytkownik z niskimi uprawnieniami może uzyskać dostęp do informacji o profilach utworzonych w Proget MDM, które zawierają dane dotyczące dozwolonych oraz niedozwolonych funkcji. Profile nie ujawniają żadnych wrażliwych informacji (w tym ich wykorzystania na podłączonych urządzeniach).
Podatność CVE-2025-1419: Dane wprowadzane w sekcji komentarzy Konsoli Proget nie są poprawnie oczyszczane, co pozwala użytkownikowi z wysokimi uprawnieniami przeprowadzić atak Stored Cross-Site Scripting.
Podatność CVE-2025-1420: Dane wprowadzane w polu zawierającym activationMessage w Konsoli Proget nie są poprawnie oczyszczane, co pozwala użytkownikowi z wysokimi uprawnieniami przeprowadzić atak Stored Cross-Site Scripting.
Podatność CVE-2025-1421: Dane przesyłane w żądaniu do serwera podczas aktywacji nowego urządzenia są zapisywane w bazie danych. Inni użytkownicy z wysokimi uprawnieniami mogą pobrać te dane jako plik CSV i narazić swój komputer na infekcję po jego otwarciu w narzędziu takim jak Microsoft Excel. Atakujący może w ten sposób uzyskać zdalny dostęp do komputera ofiary.
Wszystkie wymienione podatności zostały naprawione w wersji 2.17.5 oprogramowania Proget.
Podziękowania
Za zgłoszenie podatności dziękujemy Marcinowi Węgłowskiemu (AFINE).
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.