Mehrere Schwachstellen in Faronics WINSelect (Standard + Enterprise)

Title

Multiple Vulnerabilities allowing complete bypass

Product

Faronics WINSelect (Standard + Enterprise)

Vulnerable Version

<8.30.xx.903

Fixed Version

8.30.xx.903

CVE Number

CVE-2024-36495, CVE-2024-36496, CVE-2024-36497

Impact

high

Homepage

https://www.faronics.com/products/winselect

Found

01.02.2024

Daniel Hirschberger (Office Bochum) | SEC Consult Vulnerability Lab

Die Software WINSelect vom Hersteller Faronics wird benutzt, um Benutzer in ihren Aktionen einzuschränken und kann sogar benutzt werden, um einen Kioskmodus zu implementieren. Durch Verwendung eines hartkodierten Passworts und einer unpassenden Softwarearchitektur konnte ein Angreifer die Konfigurationsdatei entschlüsseln und das Passwort auslesen, welches benutzt wird, um die Software zu konfigurieren. Ein Angreifer konnte die Software somit vollständig deaktivieren.

Zum vollständigen Security Advisory (Englisch).

EOF Daniel Hirschberger / @2024

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück

Mehrere Schwachstellen in Faronics WINSelect (Standard + Enterprise)

Wir nutzen Cookies

Technisch erforderlich

Analyse / Statistik

Matomo