Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-01961

Опубликовано: 02 фев. 2024
Источник: fstec
CVSS3: 7.2
CVSS2: 8.3
EPSS Низкий

Описание

Уязвимость метода systemSettingsDnsDataAction компонента /opt/webapp/src/AppBundle/Controller/React/SystemSettingsController.php DLP-системы GTB Central Console связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольную команду через конечную точку /old/react/v1/api/system/dns/data

Вендор

GTB Technologies

Наименование ПО

GTB Central Console

Версия ПО

до 15.17.1-30814.NG включительно (GTB Central Console)

Тип ПО

Средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Компенсирующие меры:
1. Смена стандартных учетных данных.
2. Отключение/удаление неиспользуемых учётных записей пользователей.
3. Минимизация пользовательских привилегий.
4. Использование средств межсетевого экранирования уровня веб-приложений для предотвращения возможности эксплуатации уязвимости.
5. Усиление безопасности загрузочного процесса:
- установка нового пароля GRUB;
- ограничение доступа к конфигурационным файлам GRUB;
- блокировка возможности изменения загрузочных параметров напрямую из GRUB меню, путем настройки ограничений на изменение параметров;
- проверка цифровой подписи ядра и инициализации (Secure Boot) в настройках загрузочного процесса;
- отключение ненужных функции загрузчика GRUB.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.013
Низкий

7.2 High

CVSS3

8.3 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-22107

CVSS3: 7.2
nvd
около 2 лет назад

An issue was discovered in GTB Central Console 15.17.1-30814.NG. The method systemSettingsDnsDataAction at /opt/webapp/src/AppBundle/Controller/React/SystemSettingsController.php is vulnerable to command injection via the /old/react/v1/api/system/dns/data endpoint. An authenticated attacker can abuse it to inject an arbitrary command and compromise the platform.

github логотип

GHSA-r3vw-5726-q8gc

CVSS3: 7.2
github
около 2 лет назад

An issue was discovered in GTB Central Console 15.17.1-30814.NG. The method systemSettingsDnsDataAction at /opt/webapp/src/AppBundle/Controller/React/SystemSettingsController.php is vulnerable to command injection via the /old/react/v1/api/system/dns/data endpoint. An authenticated attacker can abuse it to inject an arbitrary command and compromise the platform.

EPSS

Процентиль: 79%
0.013
Низкий

7.2 High

CVSS3

8.3 High

CVSS2