Katalog CVE

CVE-2025-58059

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Valtimo to platforma do automatyzacji procesów biznesowych. W wersjach przed 12.16.0.RELEASE oraz od 13.0.0.RELEASE do przed 13.1.2.RELEASE, administratorzy mogą uzyskać dostęp do wrażliwych danych lub zasobów, co może prowadzić do uruchamiania programów na hoście aplikacji oraz przeglądania i wydobywania danych z środowiska hosta.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do wrażliwych informacji oraz możliwość uruchamiania niebezpiecznych skryptów, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 12.16.0 lub 13.1.2, które zostały załatane. Jeśli skrypty nie są potrzebne, można je wyłączyć w konfiguracji ProcessEngineConfiguration, jednak należy być świadomym potencjalnych skutków ubocznych.

Oryginalny opis (angielski, źródło NVD)

Valtimo is a platform for Business Process Automation. In versions before 12.16.0.RELEASE, and from 13.0.0.RELEASE to before 13.1.2.RELEASE, any admin that can create or modify and execute process-definitions could gain access to sensitive data or resources. This includes but is not limited to: running executables on the application host, inspecting and extracting data from the host environment or application properties, spring beans (application context, database pooling). The following conditions have to be met in order to perform this attack: the user must be logged in, have the admin role, and must have some knowledge about running scripts via a the Camunda/Operator engine. Version 12.16.0 and 13.1.2 have been patched. It is strongly advised to upgrade. If no scripting is needed in any of the processes, it could be possible to disable it altogether via the ProcessEngineConfiguration. However, this workaround could lead to unexpected side-effects.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS