Описание
Уязвимость функционала загрузки конфигураций SSL VPN межсетевого экрана Sophos связана с возможностью внедрения кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
Sophos Ltd.
Наименование ПО
SFOS
Версия ПО
до 19.0 включительно (SFOS)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Sophos Ltd. SFOS до 19.0 включительно
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование VPN и/или Sophos Central (предпочтительно) для удаленного доступа и управления;
- ограничение доступа к устройствам из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20221201-sfos-19-5-0
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 63%
0.00457
Низкий
7.2 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.2
nvd
около 3 лет назад
An OS command injection vulnerability allows admins to execute code via SSL VPN configuration uploads in Sophos Firewall releases older than version 19.5 GA.
CVSS3: 7.2
github
около 3 лет назад
An OS command injection vulnerability allows admins to execute code via SSL VPN configuration uploads in Sophos Firewall older than version 19.5 GA.
EPSS
Процентиль: 63%
0.00457
Низкий
7.2 High
CVSS3
9 Critical
CVSS2