CVE-2025-53900
Kiteworks MFT has a Privilege Defined With Unsafe Actions
En resumen
Kiteworks MFT tiene un fallo en la forma en que define roles y permisos de usuario para gestionar conexiones de transferencia de archivos. Usuarios autorizados podrían obtener más derechos de acceso de lo previsto, resultando en escalación de privilegios.
Detalle técnico
La vulnerabilidad CWE-267 implica una definición inadecuada de privilegios en el control de acceso basado en roles. Un atacante autenticado con privilegios de usuario estándar podría escalar permisos explotando roles mal configurados en el módulo de gestión de Conexiones, obteniendo potencialmente acceso a nivel administrativo a los flujos de trabajo.
Resumen generado y traducido por IA a partir de la descripción oficial.
Kiteworks MFT orchestrates end-to-end file transfer workflows. Prior to version 9.1.0, an unfavourable definition of roles and permissions in Kiteworks MFT on managing Connections could lead to unexpected escalation of privileges for authorized users. This issue has been patched in version 9.1.0.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Productos afectados
kiteworks · security-advisories¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →