En svensk säkerhetsforskare har publicerat om tre sårbarheter i produkten Marval MSM från ITSM-leverantören Marval. Företaget har släppt säkerhetsuppdateringar som hanterar två av sårbarheterna. De två av sårbarheterna klassas som kritiska. [1,2,3]
Sårbarheten CVE-2023-33282 har fått CVSS-klassningen 9,1. Den beror på att System-användaren vid installation får ett förbestämt lösenord. Genom att använda inloggningsuppgifter lagrade i databasen kan en användare initiera en session med System-behörighet. [1]
Även CVE-2023-33284 har fått CVSS-klassningen 9,1. Sårbarheten kan göra det möjligt för en autentiserad användare att fjärrköra kod på servern. [3]
Påverkade produkter
Marval MSM
Rekommendationer
CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt.
Källor
[1] https://www.cyberskydd.se/cve/2023/CVE-2023-33282.html
[2] https://www.cyberskydd.se/cve/2023/CVE-2023-33283.html
[3] https://www.cyberskydd.se/cve/2023/CVE-2023-33284.html
Källa: CERT.se