Katalog CVE

CVE-2025-22956

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OPSI w wersjach przed 4.3 pozwala dowolnemu klientowi na pobranie dowolnego ProductPropertyState, w tym tych należących do innych klientów. Może to prowadzić do eskalacji uprawnień, jeśli jakikolwiek ProductPropertyState zawiera tajemnicę, która powinna być dostępna tylko dla wybranej grupy klientów.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych informacji, co może prowadzić do poważnych naruszeń bezpieczeństwa, w tym ujawnienia haseł do kont domenowych.

Rekomendacja

Zaleca się aktualizację do wersji OPSI 4.3 lub nowszej oraz wdrożenie kontroli dostępu, aby ograniczyć dostęp do ProductPropertyState tylko dla uprawnionych klientów.

Oryginalny opis (angielski, źródło NVD)

OPSI before 4.3 allows any client to retrieve any ProductPropertyState, including those of other clients. This can lead to privilege escalation if any ProductPropertyState contains a secret only intended to be accessible by a subset of clients. One example of this is a domain join account password for the windomain package.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS