Krytyczna luka w Suprema BioStar 2 umożliwiająca publiczny dostęp do plików kopii zapasowych
Krytyczna luka w Suprema BioStar 2 pozwala na pobieranie kopii zapasowych bez uwierzytelnienia. Sprawdź, jak zabezpieczyć system i chronić dane.
- CVSS
- 10.0 CRITICAL
- EPSS
- 26.07%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach 2.9.3 do 2.9.11 Suprema BioStar 2 błędnie ustawia uprawnienia do krytycznych zasobów, co pozwala na publiczny dostęp do plików kopii zapasowych, jeśli administrator skonfiguruje ich ścieżkę w katalogu webroot NGINX. Atakujący z dostępem do sieci mogą pobrać pliki ZIP bez uwierzytelnienia, narażając wrażliwe dane.
Wpływ biznesowy
Ta luka umożliwia nieautoryzowany dostęp do poufnych informacji, co może prowadzić do podszywania się pod serwer, nieuprawnionego dostępu do baz danych oraz ruchu bocznego w sieci. Organizacje korzystające z dotkniętych wersji mogą doświadczyć poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie i aktualizację oprogramowania Suprema BioStar 2 do wersji pozbawionej tej luki. W międzyczasie należy ograniczyć dostęp do katalogu kopii zapasowych, zweryfikować konfigurację NGINX oraz monitorować logi pod kątem nieautoryzowanych prób pobrania plików. Priorytetowo traktuj działania minimalizujące ekspozycję i ryzyko wycieku danych.