CVE-2023-28461

2024. december 3. 08:26

Array Networks AG és vxAG ArrayOS sérülékenysége
Angol cím: Array Networks AG and vxAG ArrayOS Vulnerability

Publikálás dátuma: 2023.03.15.
Utolsó módosítás dátuma: 2024.12.02.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2024.11.25. – 2024.12.16.

Leírás

A termék nem végez hitelesítést olyan funkciók esetében, amelyek bizonyítható felhasználói azonosítást igényelnek, vagy jelentős mennyiségű erőforrást fogyasztanak.

Leírás forrása: CWE-287 CWE-306

Elemzés leírás

Eredeti nyelven: Array Networks Array AG Series and vxAG (9.4.0.481 and earlier) allow remote code execution. An attacker can browse the filesystem on the SSL VPN gateway using a flags attribute in an HTTP header without authentication. The product could then be exploited through a vulnerable URL. The 2023-03-09 vendor advisory stated “a new Array AG release with the fix will be available soon.”

Elemzés leírás forrása: CVE-2023-28461

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High