CVE-2022-3229

Опубликовано: 06 фев. 2023

Источник: nvd

CVSS3: 9.8

EPSS Высокий

Уязвимость удалённого выполнения кода в Unified Remote из-за отсутствия аутентификации в веб-интерфейсе

Описание

Веб-интерфейс управления решением Unified Remote от Unified Intents не требует аутентификации. Это позволяет неаутентифицированному злоумышленнику изменить или отключить требования аутентификации для протокола Unified Remote и использовать этот доступ для запуска произвольного кода.

Затронутые версии ПО

Unified Intents Unified Remote

Тип уязвимости

Удалённое выполнение кода

Ссылки

https://github.com/rapid7/metasploit-framework/pull/16989
Exploit
Issue Tracking
Patch
https://github.com/rapid7/metasploit-framework/pull/16989
Exploit
Issue Tracking
Patch

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:a:unifiedremote:unified_remote:*:*:*:*:*:*:*:*

Версия до 3.11.0.2483 (включая)

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 99%

0.88732

Высокий

9.8 Critical

CVSS3

Дефекты

CWE-285

NVD-CWE-noinfo

CWE-306

Связанные уязвимости

GHSA-v2r7-frxx-fmq5

CVSS3: 9.8

github

около 3 лет назад

Because the web management interface for Unified Intents' Unified Remote solution does not itself require authentication, a remote, unauthenticated attacker can change or disable authentication requirements for the Unified Remote protocol, and leverage this now-unauthenticated access to run code of the attacker's choosing.

BDU:2023-01004

CVSS3: 9.8

fstec

больше 3 лет назад

Уязвимость веб-интерфейса управления программного средства удаленного управления компьютером Unified Remote, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.88732

Высокий

9.8 Critical

CVSS3

Дефекты

CWE-285

NVD-CWE-noinfo

CWE-306