CVE-2024-46506

Опубликовано: 13 мая 2025

Источник: nvd

CVSS3: 10

EPSS Высокий

Описание

NetAlertX 23.01.14 through 24.x before 24.10.12 allows unauthenticated command injection via settings update because function=savesettings lacks an authentication requirement, as exploited in the wild in May 2025. This is related to settings.php and util.php.

Ссылки

https://rhinosecuritylabs.com/research/cve-2024-46506-rce-in-netalertx/
Exploit
Third Party Advisory
https://rhinosecuritylabs.com/research/cve-2024-46506-rce-in-netalertx/
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:netalertx:netalertx:*:*:*:*:*:*:*:*

Версия от 23.01.14 (включая) до 24.10.12 (исключая)

EPSS

Процентиль: 99%

0.82131

Высокий

10 Critical

CVSS3

Дефекты

CWE-306

Связанные уязвимости

GHSA-3qp4-7wm4-9hhr

CVSS3: 10

github

9 месяцев назад

BDU:2025-02474

CVSS3: 7.8

fstec

больше 1 года назад

Уязвимость функции saveSettings() сценария settings.php сетевой инфраструктуры оповещения вторжений NetAlert X, позволяющая нарушителю выполнить произвольный код