CVE-2023-28461

2024. december 3. 08:26

Array Networks AG és vxAG ArrayOS sérülékenysége
Angol cím: Array Networks AG and vxAG ArrayOS Vulnerability

Publikálás dátuma: 2023.03.15.
Utolsó módosítás dátuma: 2024.12.02.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2024.11.25. – 2024.12.16.

Leírás

A termék nem végez hitelesítést olyan funkciók esetében, amelyek bizonyítható felhasználói azonosítást igényelnek, vagy jelentős mennyiségű erőforrást fogyasztanak.

Leírás forrása: CWE-287 CWE-306

Elemzés leírás

Eredeti nyelven: Array Networks Array AG Series and vxAG (9.4.0.481 and earlier) allow remote code execution. An attacker can browse the filesystem on the SSL VPN gateway using a flags attribute in an HTTP header without authentication. The product could then be exploited through a vulnerable URL. The 2023-03-09 vendor advisory stated „a new Array AG release with the fix will be available soon.”

Elemzés leírás forrása: CVE-2023-28461

Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas