CVE-2019-11875
Blue Prism Robotic Process Automation (RPA) Privilege Escalation
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
2Exploited in Wild
-Decision
Descriptions
In AutomateAppCore.dll in Blue Prism Robotic Process Automation 6.4.0.8445, a vulnerability in access control can be exploited to escalate privileges. The vulnerability allows for abusing the application for fraud or unauthorized access to certain information. The attack requires a valid user account to connect to the Blue Prism server, but the roles associated to this account are not required to have any permissions. First of all, the application files are modified to grant full permissions on the client side. In a test environment (or his own instance of the software) an attacker is able to grant himself full privileges also on the server side. He can then, for instance, create a process with malicious behavior and export it to disk. With the modified client, it is possible to import the exported file as a release and overwrite any existing process in the database. Eventually, the bots execute the malicious process. The server does not check the user's permissions for the aforementioned actions, such that a modification of the client software enables this kind of attack. Possible scenarios may involve changing bank accounts or setting passwords.
En AutomateAppCore.dll en Blue Prism Robotic Process Automation versión 6.4.0.8445, una vulnerabilidad en el control de acceso puede ser explotada para escalar los privilegios. La vulnerabilidad permite abusar de la aplicación por fraude o acceso no autorizado a cierta información. El ataque requiere una cuenta de usuario válida para conectarse al servidor Blue Prism, pero no se necesita que los roles asociados a esta cuenta tengan permisos. En primer lugar, los archivos de aplicación se modifican para otorgar todos los permisos del lado del cliente. En un entorno de prueba (o su propia instancia del software), un atacante puede otorgarse privilegios completos también del lado del servidor. Luego puede, por ejemplo, diseñar un proceso con comportamiento malicioso y exportarlo a un disco. Con el cliente modificado, es posible importar el archivo exportado como una versión y sobrescribir cualquier proceso existente en la base de datos. Eventualmente, los bots ejecutan el proceso malicioso. El servidor no comprueba los permisos del usuario para las acciones antes mencionadas, de modo que una modificación del programa cliente habilita este clase de ataque. Los posibles escenarios pueden implicar cambiar cuentas bancarias o establecer contraseñas.
Blue Prism Robotic Process Automation (RPA) versions prior to 6.5.0.12573 suffer from a privilege escalation vulnerability.
CVSS Scores
SSVC
- Decision:-
Timeline
- 2019-05-10 CVE Reserved
- 2019-05-22 CVE Published
- 2024-08-04 CVE Updated
- 2024-08-04 First Exploit
- 2024-10-14 EPSS Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
CWE
- CWE-669: Incorrect Resource Transfer Between Spheres
- CWE-862: Missing Authorization
CAPEC
References (2)
| URL | Tag | Source |
|---|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Blueprism Search vendor "Blueprism" | Robotic Process Automation Search vendor "Blueprism" for product "Robotic Process Automation" | 6.4.0.8445 Search vendor "Blueprism" for product "Robotic Process Automation" and version "6.4.0.8445" | - |
Affected
| ||||||