CVE-2025-22956
KrytyczneStreszczenie
OPSI w wersjach przed 4.3 pozwala dowolnemu klientowi na pobranie dowolnego ProductPropertyState, w tym tych należących do innych klientów. Może to prowadzić do eskalacji uprawnień, jeśli jakikolwiek ProductPropertyState zawiera tajemnicę, która powinna być dostępna tylko dla wybranej grupy klientów.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych informacji, co może prowadzić do poważnych naruszeń bezpieczeństwa, w tym ujawnienia haseł do kont domenowych.
Rekomendacja
Zaleca się aktualizację do wersji OPSI 4.3 lub nowszej oraz wdrożenie kontroli dostępu, aby ograniczyć dostęp do ProductPropertyState tylko dla uprawnionych klientów.
Oryginalny opis (angielski, źródło NVD)
OPSI before 4.3 allows any client to retrieve any ProductPropertyState, including those of other clients. This can lead to privilege escalation if any ProductPropertyState contains a secret only intended to be accessible by a subset of clients. One example of this is a domain join account password for the windomain package.

