PT-2024-28460 · Entrust · Entrust Instant Financial Issuance
Omar A. Crespo
+1
·
Publicado
2024-09-23
·
Atualizado
2024-09-26
·
CVE-2024-39342
CVSS v3.1
6.6
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
Entrust Instant Financial Issuance (anteriormente conhecido como Cardwizard) versões 6.8.x e anteriores, 6.9.0, 6.9.1, 6.9.2, 6.10.0
Descrição
O problema diz respeito ao uso de uma biblioteca DLL com um processo de criptografia AES personalizado que depende de valores de chave estáticos e codificados, os quais não são gerados de forma exclusiva para cada instalação do software. Isso, combinado com uma senha criptografada obtida a partir do arquivo “WebAPI.cfg.xml”, torna a descriptografia trivial e pode levar à escalada de privilégios no host Windows.
Recomendações
Para as versões 6.8.x e anteriores, 6.9.0, 6.9.1, 6.9.2, 6.10.0, considere atualizar para uma versão que não utilize valores de chave estáticos e codificados de forma rígida para a criptografia AES, ou restrinja temporariamente o acesso à biblioteca DCG.Security.dll até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Entrust Instant Financial Issuance