Вектор уязвимости:

• Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H

• Уровень критичности уязвимости (CVSSv3.1): 8.1 (high)

• Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:N

• Уровень критичности уязвимости (CVSSv4.0): 7.2 (high)

Описание уязвимости:

В Passwork была выявлена проблема, затрагивающая версию 6.4.0.

Обнаруженная уязвимость может быть использована злоумышленником с целью отправки запросов как на внешние узлы, так и на серверы с ограниченным доступом, что приводит к разглашению чувствительных данных, отказу в обслуживании.

Также эксплуатация уязвимости позволяет: проводить атаки на внешние серверы с целью сокрытия собственного адреса злоумышленника; получить информацию о структуре сегментов внутренней сети, недоступных нарушителю; обращаться к внутренним ресурсам; производить сканирование портов/сервисов.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 09.10.2024

Рекомендации:

• Обновление до версии 6.4.3 или выше

Исследователь: Алексей Писаренко (Positive Technologies)