CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2022-25369

Critical
Published: Translated: NVD NIST

Summary

W Dynamicweb przed wersją 9.12.8 odkryto problem, który pozwala atakującemu na dodanie nowego użytkownika administratora bez autoryzacji. Wadliwość ta wynika z błędu logicznego przy określaniu, czy etapy konfiguracji produktu mogą być uruchamiane ponownie.

Risk Assessment

Po uzyskaniu dostępu jako nowy użytkownik administratora, atakujący może przesłać plik wykonywalny i uzyskać możliwość wykonania poleceń, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację do wersji 9.5.9, 9.6.16, 9.7.8, 9.8.11, 9.9.8, 9.10.18, 9.12.8 lub 9.13.0 (i nowszych), aby usunąć tę podatność.

Original NVD description (English source)

An issue was discovered in Dynamicweb before 9.12.8. An attacker can add a new administrator user without authentication. This flaw exists due to a logic issue when determining if the setup phases of the product can be run again. Once an attacker is authenticated as the new admin user they have added, it is possible to upload an executable file and achieve command execution. This is fixed in 9.5.9, 9.6.16, 9.7.8, 9.8.11, 9.9.8, 9.10.18, 9.12.8, and 9.13.0 (and later).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS