Vulnérabilité de haute sévérité affectant le rôle SDK Web de Security Center
Vulnérabilité de haute sévérité affectant le rôle SDK Web de Security Center
Une vulnérabilité de haute sévérité pouvant conduire à l'exécution de code arbitraire sur le système hébergeant le rôle SDK Web a été découverte dans la gamme de produits GenetecMC Security Center. Cette vulnérabilité a été signalée via le programme de Bug bounty de Genetec. Il n'y a actuellement aucune preuve d'exploitation de cette vulnérabilité.
Évaluation du risque
Cette vulnérabilité (CVE-2024-7059) affecte le SDK Web de Security Center. Un attaquant qui réussit à exploiter cette vulnérabilité peut être en mesure d'exécuter du code arbitraire au lieu de l'ensemble réservé de fonctions normalement autorisées par le SDK. Le code sera exécuté avec des privilèges d'administrateur sur la machine sur laquelle le rôle SDK Web est installé. Le score de base CVSS v4.0 pour cette vulnérabilité est de 8.9 (élevé).
Détails de la vulnérabilité
Pour que la vulnérabilité soit exploitable, l'attaquant doit avoir :
-
- Activer le rôle SDK Web (par défaut, ce rôle est désactivé)
- Un utilisateur valide de Security Center avec le privilège de « se connecter en utilisant le SDK
- Un certificat SDK Web valide
Recommandation
Les clients qui utilisent une version de Security Center affectée doivent la mettre à jour dès que possible.
Solutions alternatives
Si l'instance de Security Center ne peut pas être mise à jour en temps voulu, l'administrateur système doit désactiver le rôle SDK Web.
Produits concernés
Produit | Concerné ? | Correctif logiciel (patch) et commentaires |
Security Center SaaS | Patché | ND |
Security Center 5.13 | Non | ND |
Security Center 5.12 | Oui | Patché dans 5.12.1.3 et 5.12.2.1 |
Security Center 5.11 | Oui | Patché dans 5.11.3.13 |
Security Center 5.10 | Oui | Patché dans 5.10.4.23 |
Security Center 5.9 | Oui | Patché dans 5.9.5.8 |
Security Center 5.8 | Oui | Patché dans 5.8.2.1 |
Versions antérieures de Security Center | Oui | Mise à jour vers une version de Security Center dont la maintenance est prise en charge. |
Autres produits Genetec | Non | ND |
Pour plus d'informations ou d'assistance, veuillez-vous connecter au portail d'assistance technique de Genetec (GTAP) pour ouvrir un dossier d'assistance.
Remerciements
Merci aux contributeurs suivants : Algosecure et Louis Moubinous