Headline
CVE-2023-4997: Podatność w oprogramowaniu Uptime DC
Improper authorisation of regular users in ProIntegra Uptime DC software (versions below 2.0.0.33940) allows them to change passwords of all other users including administrators leading to a privilege escalation.
Podatność w oprogramowaniu Uptime DC
CVE ID
CVE-2023-4997
Data publikacji
05 października 2023
Producent podatnego oprogramowania
ProIntegra S.A
Nazwa podatnego oprogramowania
UptimeDC
Podatne wersje
wszystkie poniżej 2.0.0.33940
Typ podatności (CWE)
Missing Authorization (CWE-862)
Źródło zgłoszenia
Zgłoszenie do CERT Polska
Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu UptimeDC i uczestniczył w jej koordynacji. Podatność pozwala każdemu zalogowanemu użytkownikowi zmienić hasło na kontach innych użytkowników (w tym administratorów), w efekcie czego możliwa była eskalacja uprawnień. Podatność, której nadano identyfikator CVE-2023-4997, została potwierdzona przez producenta i naprawiona w wersji 2.0.0.33940.
Podziękowania
Za zgłoszenie podatności dziękujemy Antoniemu Kwietniewskiemu z Alior Banku.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/