Progress - CVE-2024-1632
Date de publication :
Un défaut de contrôle des accès dans des instances Progress Sitefinity en ligne permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, de contourner la politique de sécurité et d’accéder à la console d’administration en ligne.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-284: Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Contournement provisoire
Progress Sitefinity versions 7.x, 8.x, 9.x, 10.x, 11.x, 12.x, 13.0, 13.1, 13.2, 13.3.7600-13.3.7648, 14.0, 14.1, 14.2, 14.3, 14.4.8100-14.4.8134, 15.0.8200-15.0.8226
Solutions ou recommandations
Les versions 12.x et antérieures sont en fin de vie et ne sont plus prises en charge. Il est recommandé de mettre à jour les produits vers des versions prises en charge ou de les remplacer par des produits alternatifs.
Mettre à jour Progress Sitefinity :
• 13.x vers la version 13.3.7649 ou ultérieure,
• 14.x vers la version 14.4.8135 ou ultérieure,
• 15.x vers la version 15.0.8227 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Progress.