Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00665

Опубликовано: 22 янв. 2025
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость консоли управления устройствами (АМС) и центральной консоли управления (СМС) микропрограммного обеспечения межсетевых экранов SonicWall серии SMA 1000 связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды операционной системы

Вендор

SonicWall

Наименование ПО

SMA 1000

Версия ПО

до 12.4.3-02854 (SMA 1000)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности получения доступа к консоли управления устройствами (АМС) и центральной консоли управления (СМС);
- использование механизма «белых» списков IP-адресов для организации доступа к уязвимому устройству;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости.
Использование рекомендаций производителя:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.28602
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-23006

CVSS3: 9.8
nvd
около 1 года назад

Pre-authentication deserialization of untrusted data vulnerability has been identified in the SMA1000 Appliance Management Console (AMC) and Central Management Console (CMC), which in specific conditions could potentially enable a remote unauthenticated attacker to execute arbitrary OS commands.

github логотип

GHSA-57r3-2prp-v2xh

CVSS3: 9.8
github
около 1 года назад

Pre-authentication deserialization of untrusted data vulnerability has been identified in the SMA1000 Appliance Management Console (AMC) and Central Management Console (CMC), which in specific conditions could potentially enable a remote unauthenticated attacker to execute arbitrary OS commands.

EPSS

Процентиль: 96%
0.28602
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2