Îmbunătățiri importante de securitate și remedieri de erori
Avem plăcerea de a vă prezenta versiunea 7.5.1 a Allegra, care conține îmbunătățiri importante de securitate și extinderi pentru o utilizare mai bună. Această actualizare face parte din angajamentul nostru de a vă oferi în mod continuu un produs sigur și eficient.
Pentru a închide vulnerabilitățile listate mai jos, se recomandă insistent actualizarea la cea mai recentă versiune Allegra 7.5.1. La instalare se aplică un fix pentru fiecare ZDI CAN din tabelul de mai jos, cu excepția ZDI-CAN-22360. Clienții Cloud nu trebuie să ia nicio măsură, întrucât instanțele lor au fost actualizate imediat după dezvăluire.
Notă suplimentară pentru ZDI-CAN-22360, valabilă pentru clienții On-Premise: vă rugăm să verificați dacă ați schimbat parola implicită a bazei de date Allegra după instalare.
Puteți descărca cea mai recentă versiune Allegra 7.5.1 aici.
Versiunea Allegra 7.5.1 conține corecții de întărire a securității pentru următoarele probleme:
| ZDI CAN | Produse afectate | Scor CVSS + Vector | Descriere |
| ZDI-CAN-22507 | Allegra versiuni mai vechi de 7.5.1 | 7.5 – High CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | Vulnerabilitate de acces arbitrar la fișiere, exploatabilă de utilizatori autentificați, inclusiv cei cu rol de oaspete. Vulnerabilitatea este tratată ca neautentificată, întrucât, dacă accesul anonim este activ, oricine se poate autentifica. |
| ZDI-CAN-22530 | Allegra versiuni mai vechi de 7.5.1 | 7.5 – High CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| ZDI-CAN-22532 | Allegra versiuni mai vechi de 7.5.1 | 7.5 – HIgh CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | Vulnerabilitate neautentificată de acces arbitrar la fișiere. Necesită existența directorului C:\Allegra\plugins\tp-math. |
| ZDI-CAN-22513 | Allegra versiuni mai vechi de 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | Executare de cod la distanță după autentificare, din cauza unei vulnerabilități de directory traversal în timpul taskului de restaurare backup. Sunt necesare drepturi de administrator pentru exploatare. |
| ZDI-CAN-22512 | Allegra versiuni mai vechi de 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Executare neautentificată de cod la distanță, din cauza controlului insuficient al accesului în acțiunea Struts „SiteConfigAction” din Allegra. |
| ZDI-CAN-22510 | Allegra versiuni mai vechi de 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | Executare de cod la distanță după autentificare, din cauza unei vulnerabilități de directory traversal în metoda uploadFile a clasei BrandingAction. Sunt necesare drepturi de administrator pentru exploatare. |
| ZDI-CAN-22548 | Allegra versiuni mai vechi de 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Executare de cod la distanță, exploatabilă de orice utilizator autentificat, inclusiv cei cu rol de oaspete. Vulnerabilitatea este tratată ca neautentificată, întrucât, dacă accesul anonim este activ, oricine se poate autentifica. |
| ZDI-CAN-22506 | Allegra versiuni mai vechi de 7.5.1 | ||
| ZDI-CAN-22505 | Allegra versiuni mai vechi de 7.5.1 | ||
| ZDI-CAN-22504 | Allegra versiuni mai vechi de 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | Executare de cod la distanță după autentificare, din cauza unei vulnerabilități de directory traversal în timpul unui upload de fișier. Sunt necesare drepturi de administrator pentru exploatare. |
| ZDI-CAN-22528 | Allegra versiuni mai vechi de 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | |
| ZDI-CAN-22527 | Allegra versiuni mai vechi de 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | |
| ZDI-CAN-22361 | Allegra versiuni mai vechi de 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Vulnerabilitate de tip bypass de autentificare prin directory traversal. |
| ZDI-CAN-22360 | Allegra versiuni mai vechi de 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | Bypass de autentificare din cauza unor credențiale hardcodate. Aspectul critic constă în faptul că fiecare instalare Allegra folosește aceeași parolă implicită a bazei de date, care, eventual, nu este schimbată după instalare. Vulnerabilitatea afectează doar clienții cu instalări On-Premise. Recomandăm insistent schimbarea parolelor bazei de date după instalarea Allegra. |
Consultant Senior
Jörg Friedrich este autorul original al software-ului de management de proiect Allegra și însoțește dezvoltarea acestuia până astăzi. Are mulți ani de experiență industrială ca manager de proiect și șef de departament. În plus, este profesor la Facultatea de Informatică și Tehnologii Informaționale a Hochschule Esslingen.