CVE-2024-42017
CriticalSummary
W aplikacji Atos Eviden iCare w wersjach od 2.7.1 do 2.7.11 odkryto problem, który umożliwia wystawienie lokalnego interfejsu webowego. W najgorszym przypadku, jeśli aplikacja jest dostępna zdalnie, atakujący może wykonać dowolne polecenia z uprawnieniami systemowymi na urządzeniu hostującym aplikację, bez potrzeby uwierzytelnienia.
Risk Assessment
Dla organizacji ryzyko polega na możliwości zdalnego wykonania dowolnych poleceń przez atakującego, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Recommendation
Zaleca się ograniczenie dostępu do aplikacji tylko do lokalnej sieci oraz wdrożenie odpowiednich mechanizmów uwierzytelniania, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
An issue was discovered in Atos Eviden iCare 2.7.1 through 2.7.11. The application exposes a web interface locally. In the worst-case scenario, if the application is remotely accessible, it allows an attacker to execute arbitrary commands with system privilege on the endpoint hosting the application, without any authentication.

