Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Asseco InfoMedica Plus i koordynował proces ujawniania informacji.
Asseco InfoMedica to kompleksowe rozwiązanie służące do zarządzania zarówno zadaniami administracyjnymi, jak i medycznymi w sektorze ochrony zdrowia.
Podatność CVE-2025-8306: Z powodu braku odpowiedniej granulacji kontroli dostępu użytkownik o niskich uprawnieniach może uzyskać zakodowane hasła należące do innych użytkowników (w tym głównego administratora).
Podatność CVE-2025-8307: Hasła wszystkich użytkowników są przechowywane w bazie danych w formacie zakodowanym. Atakujący posiadający te hasła jest w stanie je odkodować, korzystając z algorytmu wbudowanego w część kliencką oprogramowania.
Wykorzystanie obu podatności umożliwia atakującemu eskalację uprawnień.
Obie podatności zostały naprawione w wersjach 4.50.1 oraz 5.38.0.
Podziękowania
Za zgłoszenie podatności dziękujemy Maciejowi Kazulakowi.
