CVE-2024-48766

Опубликовано: 13 мая 2025

Источник: nvd

CVSS3: 8.6

EPSS Высокий

Описание

NetAlertX 24.7.18 before 24.10.12 allows unauthenticated file reading because an HTTP client can ignore a redirect, and because of factors related to strpos and directory traversal, as exploited in the wild in May 2025. This is related to components/logs.php.

Ссылки

https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/auxiliary/scanner/http/netalertx_file_read.rb
Exploit
https://rhinosecuritylabs.com/research/cve-2024-46506-rce-in-netalertx/
Exploit
Mitigation
Third Party Advisory
https://rhinosecuritylabs.com/research/cve-2024-46506-rce-in-netalertx/
Exploit
Mitigation
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:netalertx:netalertx:*:*:*:*:*:*:*:*

Версия от 24.7.18 (включая) до 24.10.12 (исключая)

EPSS

Процентиль: 99%

0.77983

Высокий

8.6 High

CVSS3

Дефекты

CWE-698

CWE-22

Связанные уязвимости

GHSA-h96f-qxw6-vq8x

CVSS3: 8.6

github

9 месяцев назад

BDU:2025-02475

CVSS3: 7.3

fstec

больше 1 года назад

Уязвимость сценария security.php сетевой инфраструктуры оповещения вторжений NetAlert X, позволяющая нарушителю читать произвольные файлы