聚焦源代码安全,网罗国内外最新资讯!
Sonicwall 公司今天共修复15个漏洞,其中一些可导致攻击者在绕过认证后,访问运行 GMS 9.3.2-SP1或更早版本以及 Analytics 2.5.0-R7或更早版本的本地系统。该公司表示,“这些负责任披露的漏洞包括4个CVSSv3 评级为‘严重’等级的漏洞,可导致攻击者绕过认证并可能导致敏感信息被暴露给越权人员。SonicWall PSIRT 强烈建议使用 GMS/Analytics本地版本的组织机构立即更新至相应的已修复版本。”
管理员应立即更新至 GMS 9.3.3和 Analytics 2.5.2 版本的漏洞包括:
-
CVE-2023-34124: Web Service 认证绕过
-
CVE-2023-34133: 多个未认证SQL注入问题和安全过滤绕过
-
CVE-2023-34134: 通过Web Service的密码哈希读取
-
CVE-2023-34137: CAS 认证绕过
未认证攻击者可在无需用户交互的低复杂攻击活动中远程利用这些漏洞。成功利用可导致攻击者越权访问数据。这些数据可能包括属于其他用户的信息或受攻陷应用中的任何数据。攻击者可在攻陷后操纵或删除该数据,对被入侵应用的内容或功能造成“永久性变更”。
SonicWall PSIRT 尚未发现关于 PoC 利用代码的公开报告或漏洞已遭活跃利用的迹象。该公司的设备长久以来一直遭勒索攻击和网络间谍攻击。SonicWall 公司的产品用户遍布全球215个国家,商业客户达到50多万个,包括政府机构和全球的某些最大规模公司。
原文始发于微信公众号(代码卫士):SonicWall紧急提醒:速修复多个严重的认证绕过漏洞!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论