Synthèse
Un Proof of Concept (PoC) est disponible pour CVE-2024-5276 – déjà corrigé par l’éditeur – présent dans Fortra FileCatalyst Workflow, un portail Web de gestion des fichiers partagés dans l’environnement d’entreprise.
Cette vulnérabilité – de type « SQL Injection », avec un score CVSS v3.x de 9,8 – pourrait permettre la manipulation de données applicatives, permettant la création d’utilisateurs administratifs et la modification des données présentes dans la base de données des instances affectées.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : ÉLEVÉ/ORANGE (72,82/100)1.
Typologie
- Data Manipulation
- Privilege Escalation
Produits et versions concernés
Fortra FileCatalyst Workflow, version 5.1.6 build 135 et versions antérieures
Mesures d’atténuation
Lorsqu’il n’est pas fourni, il est recommandé de mettre rapidement à jour les produits vulnérables vers la dernière version disponible.
Identificateurs de vulnérabilité uniques
Références
https://www.fortra.com/security/advisory/fi-2024-008
1Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
