Resumen ejecutivo
Noam Rathaus, de SSD Secure Disclosure, ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar comandos arbitrarios del sistema operativo.
Recursos afectados
Linear eMerge E3: versiones 1.00-07 y anteriores.
Análisis técnico
La serie Linear eMerge e3 es vulnerable a una inyección de comandos del sistema operativo. Un atacante remoto, no autenticado, puede ejecutar comandos arbitrarios del sistema operativo mediante el parámetro 'login_id' al invocar la función "forgot_password" a través de HTTP.
Se ha asignado el identificador CVE-2024-9441 para esta vulnerabilidad.
Mitigación / Solución
Nice no ha indicado si se desarrollará un parche. Se recomienda consultar el boletín E3 de Nice para obtener la información más reciente sobre la seguridad del producto.