VU#706118:Workhorse Software S... 笔记

VU#706118:Workhorse Software Services, Inc. 软件 1.9.4.48019 版本之前的默认部署版本存在多个漏洞。

Workhorse Software Services 的 municipal accounting 软件(1.9.4.48019 版本之前)存在严重的设计缺陷。这些缺陷允许未经授权访问敏感的市政数据并进行数据泄露。一个主要的漏洞是,数据库连接信息以明文形式与应用程序可执行文件一起存储。这使得拥有目录读取权限的个人有可能在 SQL 身份验证被使用的情况下恢复 SQL 凭据。此外,该软件还有一个未经身份验证的数据库备份功能,即使在登录屏幕上也可以访问。此备份会创建一个未加密的 ZIP 存档,其中包含一个 .bak 文件,该文件无需密码即可恢复。攻击者可以利用这些漏洞,例如,通过获得对工作站的物理访问权限或使用恶意软件。此类攻击的影响可能导致整个数据库被泄露。这可能会暴露敏感的个人身份信息和全面的市政财务记录。数据篡改、破坏审计记录和损害财务运营也是重大风险。CERT/CC 强烈建议立即更新到 1.9.4.48019 版本。其他缓解策略包括限制应用程序目录访问以及启用带有 Windows 身份验证的 SQL Server 加密。