JCI Software House C-CURE 9000 Vulnerability 2024 Analyzed
CISA and JCI disclosed a high-severity vulnerability in the Software House C-CURE 9000 security management system.
This report examines the disclosed vulnerability's practical risks and CVSS 4.0 breakdown.
******** *** ************* ** ********** ** high ********, ** ****** ** ********* remotely *** ******** ***** ****** ** the ****** **** ************* ******.
*** ************* ******* ** ********* ******** Information ****** (***), ***** ***** ****** Web ******** *** *** *** ********* Windows ***** ***********. *******, ** **** not ****** ***-*** ******** **********.
*** ******** *** ************* ** ****, which ****** * ***** ******** ******** in *** ****, ***** **** *** CVSS ********** *** ******* *.* *** version *.*.
**** ** ******* ** ***** ***** surveillance *************** ******** **** *** *** version *.* ** ****.
Analysis ** ************* ***-****-****
*** ************* ** ******** ***** *-**** 9000 **** ******* ******* *.**.* ** Software ***** *-**** ****, ***** ** described **:
***** ******* ************* *** *********® ******** Information ****** (***) **** ** **** the *•**** **** *** ****** **** log ********* ******* ********** ******* ****** logs.
***** ******* *** ******** ******** **** both**********, **'* ******* ***** **** ************* the *********** *** ******. ***** **** asked *** ** ** **** ******** API *****, ****** *** *****, ** both, ***** *******:
**** ******* *.*.* (****): ***** ** no ****** ** ***-*** ******* ********** C●CURE **** ** ***** ********.
*** ********** ******** *-**** **** ** version *.**.* **** ** *.**.*, ******** the ********* ** ******** **** ********, and ****** ******** *** *** **** or *** ******** ** ***.***:
****** *** ***.*** *** **** (** remove ********* ** ********* **** *** log **** **** * **** ******) located ** "*:\******* ***** (***)\****\*****************\*************\****\********"
******** ** ****** *********** ** ********* about *** *************, *** ***** ************** and ******** ********** ******* **** ******* may **** **** ************ ******* ** version *.**.* ** ***** ********* *********, which *** ******* *****-**** ********* ** logs.
******* *** ** ********** **** *********** ***** ******* ******.
The *** **** *.* **** ** ****
***** ********** ********* ******* *.*** *** ****** ************* ******* ****** (CVSS) ** ******** *, ****, ***** should ** **** *** *********** **** severity *******.
***** **** **** **** ******** *.* and *.* *** *** *** *************, IPVM ***** *** **** ******* *.* calculation *** **** *********.
- Attack ****** (**):
- *****, ********* ****** ******* ******* ****** or ****** *****.
- Attack ********** (**):
- ***, *** ******** *** ********** ****** success.
- Attack ************ (**):
- ***, *** ******** *** ****** ** read *** *** ****.
- Privileges ******** (**):
- ****, *** ******** **** ** ****** in ** ** *************.
- User *********** (**):
- ****, ***** **** ** ****** ** to *** ********** *** *******.
- Confidentially (**):
- ****, *** ******** *** ****** *** password.
- Integrity (**):
- ****, *** ******** *** ****** *** password.
- Availability (**):
- ***, *** ******** *** ****** **** service ** ********** *****.
- Confidentially (**):
- ****, *** ******** *** ****** ***** sensitive ****.
- Integrity (**):
- ****, *** ******** *** ****** ***** sensitive ****.
- Availability (**):
- ***, *** ******** *** ****** **** service ** ********** *****.
***** *** *** **** *** ****, also *** **** **** *** *** hacked *** ****** ***; ** ****** a **** *******.