VU#706118 : Les logiciels de Workhorse Software Services, Inc. antérieurs à la version 1.9.4.48019, la mise en production par défaut est vulnérable à plusieurs problèmes.
Le logiciel de comptabilité municipale Workhorse Software Services, avant la version 1.9.4.48019, présente des failles de conception critiques. Ces failles permettent l'accès non autorisé à des données municipales sensibles et permettent l'exfiltration de données. Une vulnérabilité majeure concerne le stockage en clair des informations de connexion de base de données à côté de l'exécutable de l'application. Cela permet aux individus ayant accès en lecture au répertoire de récupérer éventuellement les informations d'identification SQL si l'authentification SQL est utilisée. De plus, le logiciel présente une fonction de sauvegarde de base de données non authentifiée accessible même à partir de l'écran de connexion. Cette sauvegarde crée un archive ZIP non chiffré contenant un fichier .bak qui peut être restauré sans mot de passe. Un attaquant pourrait exploiter ces vulnérabilités, par exemple, en obtenant un accès physique à une station de travail ou en utilisant un malware. L'impact d'une telle attaque pourrait être l'exfiltration de la base de données entière. Cela pourrait exposer des informations personnelles identifiables sensibles et des enregistrements financiers municipaux complets. La falsification de données, la compromission des traces d'audit et la mise en danger des opérations financières sont également des risques significatifs. Le CERT/CC recommande fortement de mettre à jour vers la version 1.9.4.48019 immédiatement. Des stratégies de mitigation supplémentaires incluent la restriction de l'accès au répertoire de l'application et l'activation du chiffrement du serveur SQL avec l'authentification Windows.