CVE-2024-13061
CriticalSummary
System Elektronicznego Zarządzania Dokumentami Oficjalnymi od 2100 Technology posiada podatność na obejście uwierzytelniania. Mimo że produkt stosuje białą listę adresów IP dla API używanego do zapytań o tokeny użytkowników, nieautoryzowani zdalni atakujący mogą oszukać serwer, aby uzyskać tokeny dowolnych użytkowników, które mogą być następnie wykorzystane do logowania się do systemu.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa organizacji, umożliwiając atakującym dostęp do kont użytkowników bez odpowiednich uprawnień. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych i zasobów.
Recommendation
Zaleca się natychmiastowe zaktualizowanie systemu do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak wieloskładnikowe uwierzytelnianie, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
The Electronic Official Document Management System from 2100 Technology has an Authentication Bypass vulnerability. Although the product enforces an IP whitelist for the API used to query user tokens, unauthenticated remote attackers can still deceive the server to obtain tokens of arbitrary users, which can then be used to log into the system.

