Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06168

Опубликовано: 19 янв. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Критический

Описание

Уязвимость программного средства обеспечения безопасного доступа SonicWall Secure Mobile Access (SMA 1000) связана с возможностью обхода пути при проведении процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к произвольным файлам и каталогам, хранящимся за пределами корневого веб-каталога

Вендор

SonicWall

Наименование ПО

SMA 1000

Версия ПО

до 12.4.2-05352 (SMA 1000)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа к 8443-порту;
- внедрение механизма «белого» списка IP-адресов для ограничения доступа к программному средству;
- использование средств межсетевого экранирования уровня для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0001

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.93233
Критический

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-0126

CVSS3: 7.5
nvd
около 3 лет назад

Pre-authentication path traversal vulnerability in SMA1000 firmware version 12.4.2, which allows an unauthenticated attacker to access arbitrary files and directories stored outside the web root directory.

github логотип

GHSA-mr28-27qx-phg3

CVSS3: 7.5
github
около 3 лет назад

Pre-authentication path traversal vulnerability in SMA1000 firmware version 12.4.2, which allows an unauthenticated attacker to access arbitrary files and directories stored outside the web root directory.

EPSS

Процентиль: 100%
0.93233
Критический

7.5 High

CVSS3

7.8 High

CVSS2