CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2023-27195

Critical
Published: Translated: NVD NIST

Summary

Trimble TM4Web w wersji 22.2.0 pozwala nieautoryzowanym atakującym na dostęp do endpointu /inc/tm_ajax.msw?func=UserfromUUID&uuid= w celu pobrania ostatniego kodu dostępu rejestracyjnego. Atakujący mogą wykorzystać ten kod do rejestracji ważnego konta, w tym konta Administratora z pełnymi uprawnieniami.

Risk Assessment

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemu oraz możliwość utworzenia nowych kont Administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Recommendation

Zaleca się zaktualizowanie Trimble TM4Web do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów uwierzytelniania, aby zablokować dostęp do krytycznych endpointów bez odpowiednich uprawnień.

Original NVD description (English source)

Trimble TM4Web 22.2.0 allows unauthenticated attackers to access /inc/tm_ajax.msw?func=UserfromUUID&uuid= to retrieve the last registration access code and use this access code to register a valid account. via a PUT /inc/tm_ajax.msw request. If the access code was used to create an Administrator account, attackers are also able to register new Administrator accounts with full privileges.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS