CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-47857

Critical
Published: Translated: NVD NIST

Summary

Wersje PrivX od 18.0 do 36.0 mają niewystarczającą walidację podpisów kluczy publicznych podczas korzystania z natywnych połączeń SSH przez port proxy. To umożliwia istniejącemu kontu PrivX 'konto A' podszywanie się pod inne istniejące konto PrivX 'konto B' i uzyskanie dostępu do hostów SSH, do których 'konto B' ma dostęp.

Risk Assessment

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemów, co może prowadzić do wycieku danych lub naruszenia integralności systemów. Atakujący może wykorzystać tę podatność do przejęcia kontroli nad zasobami, do których ma dostęp konto 'B'.

Recommendation

Zaleca się aktualizację do najnowszej wersji PrivX, która naprawia tę lukę. Dodatkowo, warto wprowadzić dodatkowe mechanizmy weryfikacji tożsamości użytkowników korzystających z połączeń SSH.

Original NVD description (English source)

SSH Communication Security PrivX versions between 18.0-36.0 implement insufficient validation on public key signatures when using native SSH connections via a proxy port. This allows an existing PrivX "account A" to impersonate another existing PrivX "account B" and gain access to SSH target hosts to which the "account B" has access.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS