Múltiples vulnerabilidades en productos de CData
- CData API Server, versiones anteriores a 23.4.8844;
- CData Arc, versiones anteriores a 23.4.8839;
- CData Connect, versiones anteriores a 23.4.8846;
- CData Sync, versiones anteriores a 23.4.8843.
Un investigador de Tenable ha descubierto 4 vulnerabilidades, 2 de severidad crítica y 2 altas que podrían provocar que un atacante eluda las restricciones de seguridad previstas o realice acciones confidenciales que de otro modo estarían restringidas a un usuario autenticado.
CData ha publicado actualizaciones para cada producto afectado que mitigan el problema.
Existen dos vulnerabilidades críticas de recorrido de ruta cuando se ejecuta utilizando el servidor Jetty integrado, lo que podría permitir que un atacante remoto, no autenticado, obtenga acceso administrativo completo a la aplicación. Se han asignado los identificadores CVE-2024-31848 y CVE-2024-31849 para estas vulnerabilidades.
Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2024-31850 y CVE-2024-31851.