CVE-2024-38887
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 74 - wyżej niż 74% wszystkich znanych CVE
Streszczenie
Podatność w systemie Caterease firmy Horizon Business Services Inc. w wersjach od 16.0.1.1663 do 24.0.1.2405 oraz prawdopodobnie późniejszych umożliwia zdalnemu atakującemu rozszerzenie kontroli nad systemem operacyjnym z poziomu bazy danych. Wynika to z wykonywania poleceń z niepotrzebnie wysokimi uprawnieniami.
Ocena ryzyka
Atakujący może uzyskać pełną kontrolę nad systemem operacyjnym, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz całej infrastruktury IT organizacji.
Rekomendacja
Należy niezwłocznie zaktualizować system Caterease do najnowszej dostępnej wersji oraz ograniczyć uprawnienia kont używanych do komunikacji z bazą danych do niezbędnego minimum.
Oryginalny opis (angielski, źródło NVD)
An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versions, allows a remote attacker to expand control over the operating system from the database due to the execution of commands with unnecessary privileges.

