BDU:2023-08152: Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес

Описание уязвимости Уязвимость программного обеспечения Blitz Identity Provider, связана с возможностью перенаправления URL-адреса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на произвольный URL-адрес путем отправки специально сформированной ссылки
Вендор ООО «РЕАК СОФТ»
Наименование ПО Blitz Identity Provider (запись в едином реестре российских программ №842)
Версия ПО до 5.18
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Переадресация URL на ненадежный сайт («Открытая переадресация»)
Идентификатор типа ошибки CWE-601
Класс уязвимости Уязвимость кода
Дата выявления 20.10.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до версии 5.18 и выше
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Данные уточняются
Прочая информация Исследователь: Абрамов Максим (АО «Инфосистемы Джет»)