MĂșltiples vulnerabilidades en Secret Server de Delinea

MĂșltiples vulnerabilidades en Secret Server de Delinea
MiĂ©, 06/09/2023 – 09:46

Recursos Afectados

Las siguientes versiones de Delinea Secret Server estĂĄn afectadas:

  • versiĂłn 10.9.000002;
  • versiĂłn 11.4.000002 (solo CVE-2023-4588).
DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 2 vulnerabilidades que afectan a Secret Server, de Delinea, un software de gestiĂłn de accesos privilegiados (PAM), descubiertas por HĂ©ctor de Armas PadrĂłn (@3v4SI0N).

A estas vulnerabilidades se les han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-4588: CVSS v3.1: 6,8 | CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N | CWE-552.
  • CVE-2023-4589: CVSS v3.1: 9,1 | CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CWE-345.
5 – CrĂ­tica
SoluciĂłn

No hay soluciĂłn reportada por el momento.

Detalle
  • CVE-2023-4588: vulnerabilidad de accesibilidad a ficheros. La explotaciĂłn de esta vulnerabilidad podrĂ­a permitir a un usuario autenticado, con privilegios administrativos, crear un archivo de copia de seguridad en el directorio webroot de la aplicaciĂłn, cambiando el directorio de copia de seguridad por defecto a la carpeta wwwroot y descargarlo con algunos archivos de configuraciĂłn como encryption.config/ y database.config,  almacenados en el directorio wwwroot, exponiendo las credenciales de la base de datos en texto plano.
  • CVE-2023-4589: vulnerabilidad de verificaciĂłn insuficiente de autenticidad de datos. Un atacante con una cuenta de administrador podrĂ­a realizar actualizaciones de software sin los mecanismos adecuados de verificaciĂłn de integridad. En este escenario el proceso de actualizaciĂłn carece de firmas digitales y falla al validar la integridad del paquete de actualizaciĂłn, permitiendo al atacante inyectar aplicaciones maliciosas durante la actualizaciĂłn.
Listado de referencias

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.