BDU:2023-08301

Опубликовано: 23 нояб. 2023

Источник: fstec

CVSS3: 3.5

CVSS2: 2.7

EPSS Низкий

Описание

Уязвимость программного обеспечения автоматизации службы поддержки и контроля аппаратного и программного обеспечения SysAid связана с обходом авторизации посредством использования ключа, контролируемого пользователем. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

SysAid

Наименование ПО

SysAid

Версия ПО

до 23.2.15 (SysAid)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,7)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование систем обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации, указывающих на эксплуатацию уязвимости;

- использование средств межсетевого экранирования уровня веб-приложений;

- ограничение доступа из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-33706
CVE

EPSS

Процентиль: 24%

0.0008

Низкий

3.5 Low

CVSS3

2.7 Low

CVSS2

Связанные уязвимости

CVE-2023-33706

CVSS3: 6.5

nvd

больше 1 года назад

SysAid before 23.2.15 allows Indirect Object Reference (IDOR) attacks to read ticket data via a modified sid parameter to EmailHtmlSourceIframe.jsp or a modified srID parameter to ShowMessage.jsp.

GHSA-2884-h97f-466v