Múltiples vulnerabilidades en productos de CData

Recursos Afectados

CData API Server, versiones anteriores a 23.4.8844;
CData Arc, versiones anteriores a 23.4.8839;
CData Connect, versiones anteriores a 23.4.8846;
CData Sync, versiones anteriores a 23.4.8843.

Descripción

Un investigador de Tenable ha descubierto 4 vulnerabilidades, 2 de severidad crítica y 2 altas que podrían provocar que un atacante eluda las restricciones de seguridad previstas o realice acciones confidenciales que de otro modo estarían restringidas a un usuario autenticado.

Solución

CData ha publicado actualizaciones para cada producto afectado que mitigan el problema.

Detalle

Existen dos vulnerabilidades críticas de recorrido de ruta cuando se ejecuta utilizando el servidor Jetty integrado, lo que podría permitir que un atacante remoto, no autenticado, obtenga acceso administrativo completo a la aplicación. Se han asignado los identificadores CVE-2024-31848 y CVE-2024-31849 para estas vulnerabilidades.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2024-31850 y CVE-2024-31851.

Listado de referencias

Path Traversal Affecting Multiple CData Products

Reportar incidentes