Katalog CVE

CVE-2024-47857

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje PrivX od 18.0 do 36.0 mają niewystarczającą walidację podpisów kluczy publicznych podczas korzystania z natywnych połączeń SSH przez port proxy. To umożliwia istniejącemu kontu PrivX 'konto A' podszywanie się pod inne istniejące konto PrivX 'konto B' i uzyskanie dostępu do hostów SSH, do których 'konto B' ma dostęp.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemów, co może prowadzić do wycieku danych lub naruszenia integralności systemów. Atakujący może wykorzystać tę podatność do przejęcia kontroli nad zasobami, do których ma dostęp konto 'B'.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji PrivX, która naprawia tę lukę. Dodatkowo, warto wprowadzić dodatkowe mechanizmy weryfikacji tożsamości użytkowników korzystających z połączeń SSH.

Oryginalny opis (angielski, źródło NVD)

SSH Communication Security PrivX versions between 18.0-36.0 implement insufficient validation on public key signatures when using native SSH connections via a proxy port. This allows an existing PrivX "account A" to impersonate another existing PrivX "account B" and gain access to SSH target hosts to which the "account B" has access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS