PT-2011-43: Раскрытие конфиденциальной информации в Kayako Fusion

(PT-2011-43) Positive Technologies Security Advisory
Раскрытие конфиденциальной информации в Kayako Fusion

Уязвимое ПО

Kayako Fusion

Ссылка на приложение: http://www.kayako.com/products/fusion/

Рейтинг опасности

Уровень опасности: Средний    
Воздействие: Раскрытие конфиденциальной информации
Вектор атаки: Удаленный

CVSS v2:
Base Score: 6.5
Vector: (AV:N/AC:L/Au:S/C:P/I:P/A:P)

CVE: отсутствует

Описание программного обеспечения

Система Kayako Fusion представляет собой приложение, обеспечивающее взаимодействие клиента со службой технической поддержки.

Описание уязвимости

Специалисты Исследовательского центра Positive Research обнаружили уязвимость раскрытия конфиденциальной информации, которая позволяет пользователю системы с правами staff получить записи из БД.
Уязвимым является модуль генерации отчетов (Reports->New report). В системе не предусмотрена фильтрация данных, на основе которых формируется запрос. Таким образом, злоумышленник может получить конфиденциальную информацию, хранящуюся в БД (имена пользователей и хэши их паролей), используя язык Kayako Query Language (KQL).

Решение

Обновить версию.
Ссылка на обновление 1
Ссылка на обновление 2

Статус уведомления

25.11.2011 - Производитель уведомлен
25.11.2011 - Производителю отправлены детали уязвимости
25.11.2011 - Производитель выпустил исправление
02.12.2011 - Публикация уязвимости

Благодарности

Уязвимость обнаружили Юрий Гольцев, Александр Зайцев (Исследовательcкий центр Positive Research компании Positive Technologies)

 

Ссылки

http://www.securitylab.ru/lab/PT-2011-43

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/advisory.asp 
http://www.securitylab.ru/lab/

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. 
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.