Kritiska sårbarheter i Marval MSM
En svensk säkerhetsforskare har publicerat om tre sårbarheter i produkten Marval MSM från ITSM-leverantören Marval. Företaget har släppt säkerhetsuppdateringar som hanterar två av sårbarheterna. De två av sårbarheterna klassas som kritiska. [1,2,3]
Sårbarheten CVE-2023-33282 har fått CVSS-klassningen 9.1. Den beror på att System-användaren vid installation får ett förbestämt lösenord. Genom att använda inloggningsuppgifter lagrade i databasen kan en användare initiera en session med System-behörighet. [1]
Även CVE-2023-33284 har fått CVSS-klassningen 9.1. Sårbarheten kan göra det möjligt för en autentiserad användare att fjärrköra kod på servern. [3]
Påverkade produkter
Marval MSM
Rekommendationer
CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt.
Källor
[1] https://www.cyberskydd.se/cve/2023/CVE-2023-33282.html