| CVE | N/D |
|---|---|
| Sintesi della consulenza | Un utente autorizzato di Command Enterprise potrebbe falsificare un messaggio di controllo tramite Command API per modificare la visibilità delle risorse al di fuori dell'accesso approvato. |
| Prodotti o componenti | Impresa di comando |
| Affrontato nella pubblicazione | 2.16.0 |
| Gravità | Alto |
| Biglietto | SV-80 |
Descrizione
Command Enterprise era vulnerabile a un exploit in cui un utente autorizzato poteva falsificare un messaggio di controllo sull'API Command per modificare la visibilità delle risorse al di fuori dell'accesso approvato.
Impatto
Un utente malintenzionato, senza accesso a determinate risorse nella topologia, può sfruttare questa vulnerabilità per aggiungere, modificare o eliminare risorse viste da altri utenti. Ciò può portare a un'escalation dei privilegi delle risorse gestite da Command Enterprise (compresi canali video, allarmi e interruttori).
Soluzione
Aggiornare Command Enterprise al software più recente, Command Enterprise Suite 2.16.0, che corregge questa vulnerabilità.
Download
Visitate il nostro Portale Partner per scaricare Command Enterprise Suite 2.16.0.
Crediti
March Networks desidera ringraziare Siemens Mobility GmbH per aver segnalato questa vulnerabilità.
Revisione
3 febbraio 2023 - Rapporto pubblico iniziale
Esclusione di responsabilità
La valutazione da parte di March Networksdi questa vulnerabilità di sicurezza è subordinata al fatto che i prodotti March Networks siano stati aggiornati al livello di release e/o patch di sicurezza raccomandato e che il sistema sia stato implementato e configurato in conformità alle raccomandazioni di sicurezza March Networks e alle best practice del settore. È RESPONSABILITÀ DEL CLIENTE VALUTARE L'EFFETTO DI QUALSIASI VULNERABILITÀ DI SICUREZZA. Il mancato aggiornamento dei prodotti March Networks e/o la mancata osservanza delle raccomandazioni March Networks o delle best practice del settore possono aumentare il rischio associato a una vulnerabilità di sicurezza. March Networks segue le pratiche più avanzate del settore per affrontare le vulnerabilità di sicurezza dei propri prodotti. Sebbene March Networks non possa garantire che i suoi prodotti siano privi di vulnerabilità di sicurezza, si impegna a fornire aggiornamenti e correzioni di sicurezza per i suoi prodotti supportati, se e quando viene determinata una vulnerabilità di sicurezza elevata che riguarda i prodotti March Networks .