CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-42017

Critical
Published: Translated: NVD NIST

Summary

W aplikacji Atos Eviden iCare w wersjach od 2.7.1 do 2.7.11 odkryto problem, który umożliwia wystawienie lokalnego interfejsu webowego. W najgorszym przypadku, jeśli aplikacja jest dostępna zdalnie, atakujący może wykonać dowolne polecenia z uprawnieniami systemowymi na urządzeniu hostującym aplikację, bez potrzeby uwierzytelnienia.

Risk Assessment

Dla organizacji ryzyko polega na możliwości zdalnego wykonania dowolnych poleceń przez atakującego, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Recommendation

Zaleca się ograniczenie dostępu do aplikacji tylko do lokalnej sieci oraz wdrożenie odpowiednich mechanizmów uwierzytelniania, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Original NVD description (English source)

An issue was discovered in Atos Eviden iCare 2.7.1 through 2.7.11. The application exposes a web interface locally. In the worst-case scenario, if the application is remotely accessible, it allows an attacker to execute arbitrary commands with system privilege on the endpoint hosting the application, without any authentication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS