CERT Polska skoordynował proces ujawnienia pięciu podatności w oprogramowaniu R-SOFT DMS, systemu służącego do zarządzania dokumentami w przedsiębiorstwach i instytucjach.

Charakter zagrożeń:

  • Dwie podatności dotyczą wstrzyknięcia poleceń systemowych (Command Injection) — w module konwersji dokumentów i funkcji optycznego rozpoznawania znaków. Mogą umożliwić atakującemu wykonanie dowolnych poleceń z uprawnieniami serwera.

  • Podatność Stored XSS w funkcji przesyłania plików pozwala wstrzykiwać kod JavaScript, który wykonany zostanie dla wszystkich użytkowników systemu.

  • Luka IDOR umożliwia uwierzytelnionemu użytkownikowi dostęp do dowolnych plików w systemie, omijając kontrolę dostępu.

  • Hasło superadministratora przechowywane jest w słabym formacie (zagnieżdżony MD5 bez soli), co ułatwia jego odzyskanie w przypadku dostępu do konfiguracji.

Producent wydał już poprawki dla wszystkich podatności w wersjach v3.19 i v3.17 systemu. Administratorzy instalacji R-SOFT DMS powinni niezwłocznie dokonać aktualizacji.


Źródło: CERT Polska