CH azonosító
CH-13426Angol cím
Misys FusionCapital Opics Plus vulnerabilitiesFelfedezés dátuma
2016.07.04.Súlyosság
MagasÖsszefoglaló
A Misys FusionCapital Opics Plus magas kockázati besorolású sérülékenységei váltak ismertté, melyet kihasználva a támadó jogosultságot szerezhet, adatbázisban kereshet, dekódolhatja az összes forgalmat. A sérülékenységeket kiküszöbölő megoldás jelenleg nem ismert.
Leírás
A támadó a különböző sérülékenységek kapcsán az alábbiakat valósíthatja meg:
- A támadó az egyik sérülékenységet kihasználva SQL befecskendéssel, az “ID” és a “Branch” paraméterek segítségével kereshet a teljes adatbázisban.
- Egy másik sérülékenység vonatkozásában közbeékelődéses támadással a támadó képes lehet a “xmlMessageOut” paramétert megváltoztatni a POST kérésben és adminisztrátor jogot szerezhet.
- A harmadik sérülékenység esetében közbeékelődéses támadással képes lehet a támadó egy alternatív SSL tanúsítványt létrehozni és így dekódolni az összes forgalmat az ügyfél és FusionCapital Opics Plus szervez között.
Megoldás
IsmeretlenMegoldás
A sérülékenységeket kiküszöbölő megoldás még nem ismert.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
SQL Injection
System access (Rendszer hozzáférés)
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Egyéb referencia: vuldb.com
Egyéb referencia: www.kb.cert.org
Gyártói referencia: www.misys.com
CVE-2016-5653 - NVD CVE-2016-5653
CVE-2016-5654 - NVD CVE-2016-5654
CVE-2016-5655 - NVD CVE-2016-5655