Уязвимость BDU:2023-05854

Идентификатор: BDU:2023-05854.

Наименование уязвимости: Уязвимость компонента User Creation Handler файла /cgi-bin/jumpto.php?class=user&page=config_save&isphp=1 системы управления данными в реальном времени C-DATA Web Management System, позволяющая нарушителю повысить свои привилегии.

Описание уязвимости: Уязвимость компонента User Creation Handler файла /cgi-bin/jumpto.php?class=user&page=config_save&isphp=1 системы управления данными в реальном времени C-DATA Web Management System связана с ошибками при управлении доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии путём создания нового пользователя
Уязвимое ПО: Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство C-data Web Management System до 20230607 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 18.06.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Компенсирующие меры:
— использование средств межсетевого экранирования уровня веб-приложений;
— использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимостей;
— ограничение доступа к программному средству из внешних сетей (Интернет);
— использование виртуальных частных сетей для организации удаленного доступа (VPN)..
Статус уязвимости: Потенциальная уязвимость
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2023-3305.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://vuldb.com/?id.231801
https://vuldb.com/?ctiid.231801
https://github.com/sleepyvv/vul_report/blob/main/C-data/BrokenAccessControl.md