Vulnerabilidad en Blue Prism Enterprise (CVE-2022-36115)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/08/2022

Última modificación:

08/08/2023

Descripción

Se ha detectado un problema en Blue Prism Enterprise versiones 6.0 hasta 7.01. En un entorno configurado inapropiadamente que exponga el servidor de aplicaciones de Blue Prism, es posible que un usuario autenticado realice ingeniería inversa del software de Blue Prism y omita los controles de acceso para conseguir una funcionalidad no deseada. Un atacante puede abusar del método CreateProcessAutosave() para inyectar su propia funcionalidad en un proceso de desarrollo. Si (tras una advertencia) un usuario decide recuperar el trabajo no guardado usando la última versión guardada, el código malicioso podría entrar en el flujo de trabajo. Si las etapas de acción del proceso no son revisadas completamente antes de su publicación, esto podría resultar en que el código malicioso sea ejecutado en un entorno de producción.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto