Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11464

Опубликовано: 24 июн. 2025
Источник: fstec
CVSS3: 9.1
CVSS2: 9
EPSS Низкий

Описание

Уязвимость компонента upgrade.sh программного средства межсетевого экранирования Kerio Control связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Вендор

Kerio Technologies Inc.

Наименование ПО

Kerio Control

Версия ПО

9.4.5 (Kerio Control)

Тип ПО

ПО программно-аппаратных средств защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,1)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному средству;
- использование «белого» списка IP-адресов для организации удалённого доступа к интерфейсу управления уязвимым программным средством;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00891
Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-34071

CVSS3: 9.8
nvd
7 месяцев назад

A remote code execution vulnerability in GFI Kerio Control 9.4.5 allows attackers with administrative access to upload and execute arbitrary code through the firmware upgrade feature. The system upgrade mechanism accepts unsigned .img files, which can be modified to include malicious scripts within the upgrade.sh or disk image components. These modified upgrade images are not validated for authenticity or integrity, and are executed by the system post-upload, enabling root access.

github логотип

GHSA-p7cq-wxfh-7j76

CVSS3: 9.8
github
7 месяцев назад

A remote code execution vulnerability in GFI Kerio Control 9.4.5 allows attackers with administrative access to upload and execute arbitrary code through the firmware upgrade feature. The system upgrade mechanism accepts unsigned .img files, which can be modified to include malicious scripts within the upgrade.sh or disk image components. These modified upgrade images are not validated for authenticity or integrity, and are executed by the system post-upload, enabling root access.

EPSS

Процентиль: 75%
0.00891
Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2