ГлавнаяБаза уязвимостей БДУ → BDU:2024-01735
7.5высокая

BDU:2024-01735

Уязвимость реализации прикладного программного интерфейса программного средства управления жизненным циклом разработки Polarion ALM (Application Lifecycle Management), позволяющая нарушителю обойти процесс аутентификации и получить полный доступ к устройству
Опубликовано: 2024-03-05
Описание

Уязвимость реализации прикладного программного интерфейса программного средства управления жизненным циклом разработки Polarion ALM (Application Lifecycle Management) связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации и получить полный доступ к устройству

Затрагиваемое ПО и версии
Polarion ALM
Способ устранения

Компенсирующие меры:
- если не используется коннектор DOORS в окружении, необходимо добавить следующие строки в конфигурацию Apache, чтобы ограничить неаутентифицированный доступ:
<If "%{REQUEST_URI} =~ m#^/polarion/doorsconnector/rest#">
Require all denied
</If>
- если коннектор DOORS используется в окружении, необходимо ограничить доступ к конечной точке doorsconnector только для конкретного IP-адреса экземпляра DOORS, с которым Polarion синхронизирует свои данные.

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://cert-portal.siemens.com/productcert/html/ssa-871717.htmlhttps://51.159.111.35/vdb/SB2024021534?__cpo=aHR0cHM6Ly93d3cuY3liZXJzZWN1cml0eS1oZWxwLmN6https://vuldb.com/ru/?id.253552
Проверьте безопасность своего сайта и почты → Полная проверка домена