Vulnerabilidad en FileCatalyst Workflow (CVE-2024-6633)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

27/08/2024

Última modificación:

30/08/2024

Descripción

Las credenciales predeterminadas para la configuración de la base de datos HSQL (HSQLDB) para FileCatalyst Workflow se publican en un artículo de la base de conocimientos del proveedor. El uso indebido de estas credenciales podría comprometer la confidencialidad, la integridad o la disponibilidad del software. HSQLDB solo se incluye para facilitar la instalación, ha quedado obsoleto y no está diseñado para uso en producción según las guías del proveedor. Sin embargo, los usuarios que no han configurado FileCatalyst Workflow para utilizar una base de datos alternativa según las recomendaciones son vulnerables a ataques desde cualquier fuente que pueda llegar a HSQLDB.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:fortra:filecatalyst_workflow::::::::	5.0.4 (incluyendo)	5.1.7 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.fortra.com/security/advisories/product-security/fi-2024-011