BDU:2023-08601: Уязвимость платформы анализа данных Hazelcast, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости Уязвимость платформы анализа данных Hazelcast связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию
Вендор SonarSource, Hazelcast
Наименование ПО SonarQube, Hazelcast
Версия ПО 9.3.3 (SonarQube), от 5.2.0 до 5.2.3 включительно (Hazelcast), до 5.0.4 включительно (Hazelcast), от 5.1.0 до 5.1.6 (Hazelcast)
Тип ПО Прикладное ПО информационных систем
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Недостаточная защита регистрационных данных
Идентификатор типа ошибки CWE-522
Класс уязвимости Уязвимость кода
Дата выявления 21.05.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:N/A:N
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе.

Использование рекомендаций:
Для Hazelcast:
https://github.com/hazelcast/hazelcast/pull/24266
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются