VU#706118: El software de Work... Nota

VU#706118: El software de Workhorse Software Services, Inc. anterior a la versión 1.9.4.48019, la implementación predeterminada es vulnerable a múltiples problemas.

El software de contabilidad municipal "Workhorse Software Services", anterior a la versión 1.9.4.48019, presenta fallos de diseño críticos. Estos fallos permiten el acceso no autorizado a datos municipales sensibles y posibilitan la exfiltración de datos. Una vulnerabilidad importante implica el almacenamiento de la información de conexión de la base de datos en texto plano junto con el ejecutable de la aplicación. Esto permite que las personas con acceso de lectura al directorio recuperen potencialmente las credenciales de SQL si se utiliza la autenticación de SQL. Además, el software cuenta con una función de copia de seguridad de base de datos sin autenticación accesible incluso desde la pantalla de inicio de sesión. Esta copia de seguridad crea un archivo ZIP sin cifrar que contiene un archivo .bak que se puede restaurar sin contraseña. Un atacante podría explotar estas vulnerabilidades, por ejemplo, obteniendo acceso físico a una estación de trabajo o utilizando malware. El impacto de dicho ataque podría ser la exfiltración de toda la base de datos. Esto podría exponer información personal identificable sensible y registros financieros municipales completos. La manipulación de datos, socavando los rastros de auditoría y comprometiendo las operaciones financieras, también representa un riesgo importante. El CERT/CC recomienda encarecidamente actualizar a la versión 1.9.4.48019 de inmediato. Las estrategias de mitigación adicionales incluyen restringir el acceso al directorio de la aplicación y habilitar el cifrado de SQL Server con autenticación de Windows.