CVE-2022-4980

Nome do Software Vulnerável e Versões Afetadas General Bytes Crypto Application Server (CAS) versões 20201208 até 20220531.38 General Bytes Crypto Application Server (CAS) versão 20220725.22

Descrição O General Bytes Crypto Application Server (CAS) contém uma vulnerabilidade de bypass de autenticação na interface web administrativa. Um atacante não autenticado pode invocar uma URL utilizada para a página de instalação padrão do produto/criação do primeiro administrador para criar uma nova conta administrativa remotamente. Obter privilégios de administrador permite aos atacantes alterar configurações do ATM, potencialmente redirecionando fundos. A vulnerabilidade foi ativamente explorada em ambiente real contra implantações CAS hospedadas na nuvem e autônomas, varrendo instâncias expostas nas portas 7777/443.

Recomendações As versões do General Bytes Crypto Application Server (CAS) anteriores a 20220531.38 (backport) devem ser atualizadas para a versão 20220531.38 ou posterior. O General Bytes Crypto Application Server (CAS) versão 20220725.22 deve ser atualizado para uma versão mais recente.