Haavoittuvuus DOKEOS -oppimisympäristössä

DOKEOS -oppimisympäristöstä on löydetty vakava haavoittuvuus. Ympäristöön kirjautumisen yhteydessä tapahtuva tunnuksen oikeuksien tarkistus on mahdollista kiertää haavoittuvuutta hyväksikäyttämällä ja sen myötä kirjautuminen ympäristöön on mahdollista millä tahansa, jopa pääkäyttäjätason tunnuksella.

Haavoittuvuuden hyväksikäyttäminen vaatii kertakirjautuminen (SSO) -ominaisuuden käyttämistä. Haavoittuvuuden hyväksikäyttämiseen on julkisesti saatavilla oleva PoC -koodi (Proof of Concept).

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • DOKEOS ce30 ja mahdollisesti aiemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

  • Ei tiedossa olevia ratkaisu- tai rajoitusmahdollisuuksia

Lisätietoa:

https://www.htbridge.com/advisory/HTB23289

http://www.securityfocus.com/archive/1/537546

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248