Уязвимые версии: 12.0.0 - 12.0.577
Тип ошибки:
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Уровень критичности уязвимости (CVSSv3.1): 9.6 (critical)
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
- Уровень критичности уязвимости (CVSSv4.0): 9.4 (critical)
Описание уязвимости:
В PT NAD была выявлена проблема, затрагивающая версии 12.0.x до 12.0.577.
Обнаруженная уязвимость может быть использована злоумышленником с сетевым доступом к PT NAD для удаленного выполнения команд ОС от имени суперпользователя. Возможность эксплуатации зависит от конфигурации. Эксплуатация уязвимости не требует авторизации.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 17.06.2024
Рекомендации: Обновление до версии 12.0.578 или выше
Прочая информация: Бюллетень по безопасности
Исследователь: Всеволод Дергунов (Positive Technologies)
Идентификаторы:
BDU:2024-04638
Вендор:
Positive Technologies
Уязвимый продукт:
PT Network Attack Discovery (PT NAD)