Fortra hat eine kritische Sicherheitslücke behoben, die sich auf FileCatalyst Workflow auswirkt und von einem entfernten Angreifer ausgenutzt werden könnte, um administrativen Zugriff zu erlangen.
Die Schwachstelle, die als CVE-2024-6633 verfolgt wird, hat einen CVSS-Score von 9,8 und rührt von der Verwendung eines statischen Passworts für die Verbindung zu einer HSQL-Datenbank her.
„Die Standardanmeldedaten für die Setup-HSQL-Datenbank (HSQLDB) für FileCatalyst Workflow werden in einem Wissensdatenbankartikel des Anbieters veröffentlicht“, sagte Fortra in einer Mitteilung. „Die missbräuchliche Verwendung dieser Anmeldedaten könnte zu einer Gefährdung der Vertraulichkeit, Integrität oder Verfügbarkeit der Software führen.“
„Die HSQLDB ist nur zur Vereinfachung der Installation enthalten, wurde eingestellt und ist laut Anbietern nicht für die Produktion bestimmt. Benutzer, die FileCatalyst Workflow nicht gemäß den Empfehlungen für die Verwendung einer alternativen Datenbank konfiguriert haben, sind jedoch angreifbar, wenn sie von jeder Quelle aus erreicht werden können, die die HSQLDB erreichen kann.“
Das Cybersecurity-Unternehmen Tenable, das für die Entdeckung und Meldung der Schwachstelle verantwortlich ist, gab an, dass die HSQLDB standardmäßig über TCP-Port 4406 remote zugänglich ist, sodass ein entfernter Angreifer über das statische Passwort eine Verbindung zur Datenbank herstellen und schädliche Aktionen ausführen kann.
Nach verantwortungsvoller Offenlegung am 2. Juli 2024 hat Fortra einen Patch veröffentlicht, um die Sicherheitslücke in FileCatalyst Workflow 5.1.7 oder höher zu schließen.
„Der Angreifer kann beispielsweise einen Benutzer auf Administratorebene in der Tabelle DOCTERA_USERS hinzufügen, wodurch der Zugriff auf die Workflow-Webanwendung als Administratorbenutzer ermöglicht wird“, sagte Tenable.
In Version 5.1.7 wird auch eine SQL-Injection-Schwachstelle mit hoher Schwere (CVE-2024-6632, CVSS-Score: 7,2) behoben, die einen Schritt bei der Formularübermittlung während des Einrichtungsprozesses ausnutzt, um nicht autorisierte Änderungen an der Datenbank vorzunehmen.
„Während des Einrichtungsprozesses von FileCatalyst Workflow wird der Benutzer aufgefordert, über eine Formularübermittlung Firmeninformationen anzugeben“, sagte Robin Wyss, Forscher von Dynatrace.
„Die übermittelten Daten werden in einer Datenbankanweisung verwendet, aber die Benutzereingabe wird keiner ordnungsgemäßen Eingabevalidierung unterzogen. Dadurch kann der Angreifer die Abfrage ändern. Dies ermöglicht nicht autorisierte Änderungen an der Datenbank.“