Vulnerability Details CVE-2024-33891
Delinea Secret Server before 11.7.000001 allows attackers to bypass authentication via the SOAP API in SecretServer/webservices/SSWebService.asmx. This is related to a hardcoded key, the use of the integer 2 for the Admin user, and removal of the oauthExpirationId attribute.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.006
EPSS Ranking 69.1%
CVSS Severity
CVSS v3 Score 8.8
References
- https://delinea.com/products/secret-server
- https://docs.delinea.com/online-help/secret-server/release-notes/ss-rn-11-7-000001.htm
- https://straightblast.medium.com/all-your-secrets-are-belong-to-us-a-delinea-secret-server-authn-authz-bypass-adc26c800ad3
- https://trust.delinea.com/?tcuUid=17aaf4ef-ada9-46d5-bf97-abd3b07daae3
- https://delinea.com/products/secret-server
- https://docs.delinea.com/online-help/secret-server/release-notes/ss-rn-11-7-000001.htm
- https://straightblast.medium.com/all-your-secrets-are-belong-to-us-a-delinea-secret-server-authn-authz-bypass-adc26c800ad3
- https://trust.delinea.com/?tcuUid=17aaf4ef-ada9-46d5-bf97-abd3b07daae3
- https://github.com/straightblast/My-PoC-Exploits/blob/master/CVE-2024-33891.py
Products affected by CVE-2024-33891
-
cpe:2.3:a:delinea:secret_server:10.5.000000
-
cpe:2.3:a:delinea:secret_server:10.5.000001
-
cpe:2.3:a:delinea:secret_server:10.5.000003
-
cpe:2.3:a:delinea:secret_server:10.6.000000
-
cpe:2.3:a:delinea:secret_server:10.6.000001
-
cpe:2.3:a:delinea:secret_server:10.6.000026
-
cpe:2.3:a:delinea:secret_server:10.6.000027
-
cpe:2.3:a:delinea:secret_server:10.7.000002
-
cpe:2.3:a:delinea:secret_server:10.7.000059
-
cpe:2.3:a:delinea:secret_server:10.8.000000
-
cpe:2.3:a:delinea:secret_server:10.8.000004
-
cpe:2.3:a:delinea:secret_server:10.9.000000
-
cpe:2.3:a:delinea:secret_server:10.9.000002
-
cpe:2.3:a:delinea:secret_server:10.9.000005
-
cpe:2.3:a:delinea:secret_server:10.9.000033
-
cpe:2.3:a:delinea:secret_server:10.9.000063
-
cpe:2.3:a:delinea:secret_server:10.9.000064
-
cpe:2.3:a:delinea:secret_server:11.0.000005
-
cpe:2.3:a:delinea:secret_server:11.0.000006
-
cpe:2.3:a:delinea:secret_server:11.0.000007
-
cpe:2.3:a:delinea:secret_server:11.0.000008
-
cpe:2.3:a:delinea:secret_server:11.1.000006
-
cpe:2.3:a:delinea:secret_server:11.1.000007
-
cpe:2.3:a:delinea:secret_server:11.1.000012
-
cpe:2.3:a:delinea:secret_server:11.2.000000
-
cpe:2.3:a:delinea:secret_server:11.2.000002
-
cpe:2.3:a:delinea:secret_server:11.2.000003
-
cpe:2.3:a:delinea:secret_server:11.3.000000
-
cpe:2.3:a:delinea:secret_server:11.3.000001
-
cpe:2.3:a:delinea:secret_server:11.3.000002
-
cpe:2.3:a:delinea:secret_server:11.3.000003
-
cpe:2.3:a:delinea:secret_server:11.4.000000
-
cpe:2.3:a:delinea:secret_server:11.4.000002
-
cpe:2.3:a:delinea:secret_server:11.4.000030
-
cpe:2.3:a:delinea:secret_server:11.4.000031
-
cpe:2.3:a:delinea:secret_server:11.5.000000
-
cpe:2.3:a:delinea:secret_server:11.5.000001
-
cpe:2.3:a:delinea:secret_server:11.5.000002
-
cpe:2.3:a:delinea:secret_server:11.6.000000
-
cpe:2.3:a:delinea:secret_server:11.6.000002
-
cpe:2.3:a:delinea:secret_server:11.6.000003
-
cpe:2.3:a:delinea:secret_server:11.6.000004
-
cpe:2.3:a:delinea:secret_server:11.6.000025
-
cpe:2.3:a:delinea:secret_server:11.6.000043
-
cpe:2.3:a:delinea:secret_server:11.7.000000
-
cpe:2.3:a:delinea:secret_server:4.0.000003
-
cpe:2.3:a:delinea:secret_server:4.1.000000
-
cpe:2.3:a:delinea:secret_server:4.3.000000
-
cpe:2.3:a:delinea:secret_server:5.0.00000
-
cpe:2.3:a:delinea:secret_server:5.0.000002
-
cpe:2.3:a:delinea:secret_server:5.1.000000
-
cpe:2.3:a:delinea:secret_server:5.1.000001
-
cpe:2.3:a:delinea:secret_server:6.0.000000
-
cpe:2.3:a:delinea:secret_server:6.1.000000
-
cpe:2.3:a:delinea:secret_server:6.1.000002
-
cpe:2.3:a:delinea:secret_server:6.2.000000
-
cpe:2.3:a:delinea:secret_server:6.2.000003
-
cpe:2.3:a:delinea:secret_server:6.2.000004
-
cpe:2.3:a:delinea:secret_server:6.2.000005
-
cpe:2.3:a:delinea:secret_server:6.2.000006
-
cpe:2.3:a:delinea:secret_server:6.2.000012
-
cpe:2.3:a:delinea:secret_server:6.2.000013
-
cpe:2.3:a:delinea:secret_server:7.0.000000
-
cpe:2.3:a:delinea:secret_server:7.0.000001
-
cpe:2.3:a:delinea:secret_server:7.0.000040
-
cpe:2.3:a:delinea:secret_server:7.1.000000
-
cpe:2.3:a:delinea:secret_server:7.1.000015
-
cpe:2.3:a:delinea:secret_server:7.2.000000
-
cpe:2.3:a:delinea:secret_server:7.2.000001
-
cpe:2.3:a:delinea:secret_server:7.3.000001
-
cpe:2.3:a:delinea:secret_server:7.3.000002
-
cpe:2.3:a:delinea:secret_server:7.4.000000
-
cpe:2.3:a:delinea:secret_server:7.4.000002
-
cpe:2.3:a:delinea:secret_server:7.5.000000
-
cpe:2.3:a:delinea:secret_server:7.5.000001
-
cpe:2.3:a:delinea:secret_server:7.5.000002
-
cpe:2.3:a:delinea:secret_server:7.6.000000
-
cpe:2.3:a:delinea:secret_server:7.7.000001
-
cpe:2.3:a:delinea:secret_server:7.7.000002
-
cpe:2.3:a:delinea:secret_server:7.7.000009
-
cpe:2.3:a:delinea:secret_server:7.7.000012
-
cpe:2.3:a:delinea:secret_server:7.8.000000
-
cpe:2.3:a:delinea:secret_server:7.8.000001
-
cpe:2.3:a:delinea:secret_server:7.8.000002
-
cpe:2.3:a:delinea:secret_server:7.8.000010
-
cpe:2.3:a:delinea:secret_server:7.8.000014
-
cpe:2.3:a:delinea:secret_server:7.8.000015
-
cpe:2.3:a:delinea:secret_server:7.8.000036
-
cpe:2.3:a:delinea:secret_server:7.8.000039
-
cpe:2.3:a:delinea:secret_server:7.8.000040
-
cpe:2.3:a:delinea:secret_server:7.8.000048
-
cpe:2.3:a:delinea:secret_server:7.8.000061
-
cpe:2.3:a:delinea:secret_server:7.8.000062
-
cpe:2.3:a:delinea:secret_server:7.9.000000
-
cpe:2.3:a:delinea:secret_server:7.9.000001
-
cpe:2.3:a:delinea:secret_server:7.9.000003
-
cpe:2.3:a:delinea:secret_server:7.9.000004
-
cpe:2.3:a:delinea:secret_server:8.0.000000
-
cpe:2.3:a:delinea:secret_server:8.0.000004
-
cpe:2.3:a:delinea:secret_server:8.0.000005
-
cpe:2.3:a:delinea:secret_server:8.1.000000
-
cpe:2.3:a:delinea:secret_server:8.1.000011
-
cpe:2.3:a:delinea:secret_server:8.1.000014
-
cpe:2.3:a:delinea:secret_server:8.2.000000
-
cpe:2.3:a:delinea:secret_server:8.2.000001
-
cpe:2.3:a:delinea:secret_server:8.3.000000
-
cpe:2.3:a:delinea:secret_server:8.3.000001
-
cpe:2.3:a:delinea:secret_server:8.3.000002
-
cpe:2.3:a:delinea:secret_server:8.3.000019
-
cpe:2.3:a:delinea:secret_server:8.4.000000
-
cpe:2.3:a:delinea:secret_server:8.4.000004
-
cpe:2.3:a:delinea:secret_server:8.5.000000
-
cpe:2.3:a:delinea:secret_server:8.6.000000
-
cpe:2.3:a:delinea:secret_server:8.6.000009
-
cpe:2.3:a:delinea:secret_server:8.6.000010
-
cpe:2.3:a:delinea:secret_server:8.7.000000
-
cpe:2.3:a:delinea:secret_server:8.8.000001
-
cpe:2.3:a:delinea:secret_server:8.8.000004
-
cpe:2.3:a:delinea:secret_server:8.8.000005
-
cpe:2.3:a:delinea:secret_server:8.8.000018
-
cpe:2.3:a:delinea:secret_server:8.8.000020
-
cpe:2.3:a:delinea:secret_server:8.9.000000
-
cpe:2.3:a:delinea:secret_server:8.9.000022
-
cpe:2.3:a:delinea:secret_server:8.9.300000
-
cpe:2.3:a:delinea:secret_server:8.9.300008