PT-2022-17530 · Igel · Igel Universal Management Suite
Nick Nam
·
Publicado
2022-06-09
·
Atualizado
2022-06-17
·
CVE-2022-25804
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
IGEL Universal Management Suite versão 6.07.100
Descrição
Foi descoberta uma vulnerabilidade no IGEL Universal Management Suite (UMS) que permite que um invasor local sem privilégios leia valores criptografados de usuário e senha do banco de dados do superusuário do UMS devido a permissões inseguras para a chave de registro serverconfig em JavaSoftPrefsdeigelrmconfig em HKEY LOCAL MACHINESOFTWARE.
Recomendações
Para o IGEL Universal Management Suite versão 6.07.100, considere restringir o acesso à chave de registro serverconfig para impedir a leitura não autorizada dos valores criptografados de dbuser e dbpassword. Como solução alternativa temporária, revise e ajuste as permissões da chave de registro serverconfig para garantir que apenas usuários autorizados tenham acesso a ela.
Exploit
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Igel Universal Management Suite