| CVE | N/A |
|---|---|
| Résumé de l'avis | Un utilisateur autorisé de Command Enterprise pourrait falsifier un message de contrôle via l'API de Command afin de modifier la visibilité des ressources en dehors des accès approuvés. |
| Produits ou composants | Command Enterprise |
| Abordé dans le communiqué | 2.16.0 |
| Sévérité | Haut |
| Billet | 80 |
Description
Command Enterprise est vulnérable à un exploit permettant à un utilisateur autorisé de falsifier un message de contrôle via l'API de Command afin de modifier la visibilité des ressources en dehors de l'accès approuvé.
Impact
Un utilisateur malveillant, n'ayant pas accès à certaines ressources de la topologie, peut exploiter cette vulnérabilité pour ajouter, modifier ou supprimer des ressources vues par d'autres utilisateurs. Cela peut conduire à une escalade des privilèges des ressources gérées par Command Enterprise (y compris les canaux vidéo, les alarmes et les commutateurs).
Solution
Mettez à jour Command Enterprise vers le dernier logiciel, Command Enterprise Suite 2.16.0, qui corrige cette vulnérabilité.
Téléchargements
Visitez notre portail partenaires pour télécharger Command Enterprise Suite 2.16.0.
Crédits
March Networks souhaite remercier Siemens Mobility GmbH d'avoir signalé cette vulnérabilité.
Révision
3 février 2023 - Rapport public initial
Clause de non-responsabilité
L'évaluation par March Networksde cette faille de sécurité dépend de la mise à jour des produits March Networks à la version recommandée et/ou au niveau du correctif de sécurité et du fait que le système a été déployé et configuré conformément aux recommandations de sécurité de March Networks et aux meilleures pratiques de l'industrie. IL EST DE LA RESPONSABILITÉ DU CLIENT D'ÉVALUER L'EFFET DE TOUTE FAILLE DE SÉCURITÉ. Le fait de ne pas mettre à jour les produits de March Networks et/ou de ne pas suivre les recommandations de March Networks ou les meilleures pratiques du secteur peut accroître le risque associé à une faille de sécurité. March Networks suit les meilleures pratiques de l'industrie pour remédier aux failles de sécurité de ses produits. Bien que March Networks ne puisse garantir que ses produits seront exempts de failles de sécurité, il s'engage à fournir des mises à jour et des correctifs de sécurité pour les produits qu'il prend en charge, s'il est établi qu'une faille de sécurité importante affecte les produits March Networks .