ГлавнаяБаза уязвимостей БДУ → BDU:2015-10383
10критическая

BDU:2015-10383

Уязвимость программы автоматизации работы пользователей Radia Client Automation, позволяющая нарушителю осуществить доступ к учётным записям пользователей
Опубликовано: 2016-07-07
Описание

Уязвимость программы автоматизации работы пользователей Radia Client Automation связана с недостатками разграничения доступа к некоторым функциям. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перечислить учётные записи пользователей через запрос getUsers, назначить роль учётной записи пользователя через запрос addAssigneesToRole, удалить роль учётной записи пользователя через запрос removeAssigneesFromRole и др.

Затрагиваемое ПО и версии
Radia Client Automation (7.9)Radia Client Automation (8.1)Radia Client Automation (9.0)Radia Client Automation (9.1)
Способ устранения

Использование рекомендаций производителя:
https://radiasupport.accelerite.com/hc/en-us/articles/203659814-Accelerite-releases-solutions-and-best-practices-to-enhance-the-security-for-RBAC-and-Remote-Notify-features
http://www.zerodayinitiative.com/advisories/ZDI-15-039/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://radiasupport.accelerite.com/hc/en-us/articles/203659814-Accelerite-releases-solutions-and-best-practices-to-enhance-the-security-for-RBAC-and-Remote-Notify-featureshttp://www.zerodayinitiative.com/advisories/ZDI-15-039/
Проверьте безопасность своего сайта и почты → Полная проверка домена