CVE-2025-22956
CriticalSummary
OPSI w wersjach przed 4.3 pozwala dowolnemu klientowi na pobranie dowolnego ProductPropertyState, w tym tych należących do innych klientów. Może to prowadzić do eskalacji uprawnień, jeśli jakikolwiek ProductPropertyState zawiera tajemnicę, która powinna być dostępna tylko dla wybranej grupy klientów.
Risk Assessment
Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych informacji, co może prowadzić do poważnych naruszeń bezpieczeństwa, w tym ujawnienia haseł do kont domenowych.
Recommendation
Zaleca się aktualizację do wersji OPSI 4.3 lub nowszej oraz wdrożenie kontroli dostępu, aby ograniczyć dostęp do ProductPropertyState tylko dla uprawnionych klientów.
Original NVD description (English source)
OPSI before 4.3 allows any client to retrieve any ProductPropertyState, including those of other clients. This can lead to privilege escalation if any ProductPropertyState contains a secret only intended to be accessible by a subset of clients. One example of this is a domain join account password for the windomain package.

