СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
16.02.2015
#ИБ

Уязвимость BDU:2015-10383

Уязвимость BDU:2015-10383

Идентификатор: BDU:2015-10383.

Наименование уязвимости: Уязвимость программы автоматизации работы пользователей Radia Client Automation, позволяющая нарушителю осуществить доступ к учётным записям пользователей.

Описание уязвимости: Уязвимость программы автоматизации работы пользователей Radia Client Automation связана с недостатками разграничения доступа к некоторым функциям. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перечислить учётные записи пользователей через запрос getUsers, назначить роль учётной записи пользователя через запрос addAssigneesToRole, удалить роль учётной записи пользователя через запрос removeAssigneesFromRole и др.
Уязвимое ПО: Прикладное ПО информационных систем Persistent Systems Ltd. Radia Client Automation 7.9 | Прикладное ПО информационных систем Persistent Systems Ltd. Radia Client Automation 8.1 | Прикладное ПО информационных систем Persistent Systems Ltd. Radia Client Automation 9.0 | Прикладное ПО информационных систем Persistent Systems Ltd. Radia Client Automation 9.1 |

Наименование ОС и тип аппаратной платформы: Linux 64-bit | Linux 32-bit | Windows 64-bit | Windows 32-bit |
Дата выявления: 16.02.2015.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://radiasupport.accelerite.com/hc/en-us/articles/203659814-Accelerite-releases-solutions-and-best-practices-to-enhance-the-security-for-RBAC-and-Remote-Notify-features
http://www.zerodayinitiative.com/advisories/ZDI-15-039/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2015-1498. ZDI-15-039.
Прочая информация:
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://radiasupport.accelerite.com/hc/en-us/articles/203659814-Accelerite-releases-solutions-and-best-practices-to-enhance-the-security-for-RBAC-and-Remote-Notify-features

http://www.zerodayinitiative.com/advisories/ZDI-15-039/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: