CERT Polska skoordynował proces ujawnienia pięciu podatności w oprogramowaniu R-SOFT DMS, systemu służącego do zarządzania dokumentami w przedsiębiorstwach i instytucjach.
Charakter zagrożeń:
Dwie podatności dotyczą wstrzyknięcia poleceń systemowych (Command Injection) — w module konwersji dokumentów i funkcji optycznego rozpoznawania znaków. Mogą umożliwić atakującemu wykonanie dowolnych poleceń z uprawnieniami serwera.
Podatność Stored XSS w funkcji przesyłania plików pozwala wstrzykiwać kod JavaScript, który wykonany zostanie dla wszystkich użytkowników systemu.
Luka IDOR umożliwia uwierzytelnionemu użytkownikowi dostęp do dowolnych plików w systemie, omijając kontrolę dostępu.
Hasło superadministratora przechowywane jest w słabym formacie (zagnieżdżony MD5 bez soli), co ułatwia jego odzyskanie w przypadku dostępu do konfiguracji.
Producent wydał już poprawki dla wszystkich podatności w wersjach v3.19 i v3.17 systemu. Administratorzy instalacji R-SOFT DMS powinni niezwłocznie dokonać aktualizacji.
Źródło: CERT Polska
Komentarze (0)
Brak komentarzy. Dodaj pierwszy komentarz.