Faille de sécurité affectant les modules optionnels Safe Q et Dispatcher Paragon Client V3

YSoft a publié une vulnérabilité CVE-2022-38176 affectant toutes les versions SafeQ 6/Dispatcher Paragon Client V3 jusqu'à 6.0.71. Le client SafeQ/ Dispatcher Paragon est un composant optionnel installé sur le poste informatique de l'utilisateur. Cette vulnérabilité, décrite comme «une vulnérabilité d'escalade de privilèges», est présente dans certaines installations de YSoft SAFEQ Client V3/Dispatcher Paragon Client V3. Une mesure de contournement (Script PowerShell) est actuellement disponible. Les clients disposant d'un support logiciel sont invités à contacter Konica Minolta pour recevoir un script automatisé afin d'implémenter la solution de contournement.

Cette vulnérabilité accorde aux membres des "utilisateurs authentifiés" sous MS Windows les mêmes permissions pour les dossiers/fichiers du produit que celles dont disposeraient les administrateurs (Écriture & Modification). Ainsi, un utilisateur non privilégié pourrait modifier l'exécutable du produit pour effectuer une élévation de privilèges locale.
 
Plus d’informations sur les publications officielles de l’éditeur :
 
Security-bulletin-vulnerability-CVE-2021-31859-2022-38176-1.pdf.aspx (ysoft.com)
YSoft SAFEQ FlexiSpooler | Y Soft Corporation
 
Konica Minolta peut vous accompagner pour mettre en place ces correctifs. Pour cela, vous pouvez contacter votre responsable commercial Konica Minolta pour identifier les moyens d’accompagnement (offre de service décomptée à l’unité ou sur devis) les plus adaptés à votre situation.