18 подписчиков

Simplity выявила уязвимость нулевого дня в ПО 1С

Специалисты по анализу защищенности Simplity в ходе выполнения тестирования на проникновение для клиента выявили уязвимость нулевого дня в программном обеспечении 1С.

Ошибка обнаружена в механизме внешней авторизации (BAC — Broken Access Control). Она позволяет при прохождении авторизации изменять параметр, отвечающий за учетную запись, и получать доступ от имени другого пользователя.

Потенциальные риски:

обычный сотрудник или бухгалтер теоретически может получить права администратора;

с этими правами можно запускать на сервере внешние программы, в том числе вредоносные.

Информация об уязвимости опубликована в БДУ ФСТЭК.

Simplity выявила уязвимость нулевого дня в ПО 1С Специалисты по анализу защищенности Simplity в ходе выполнения тестирования на проникновение для клиента выявили уязвимость нулевого дня в программном

Около минуты

18 августа