CVE-2023-28461

Los gateways SSL VPN de Array Networks (versión 9.4.0.481 y anteriores) permiten que atacantes naveguen por los archivos del servidor y ejecuten código remotamente sin autenticación. La falla ocurre en cómo el producto procesa ciertos encabezados HTTP, haciendo imprescindible aplicar el parche de inmediato.

CVE-2023-28461 es una vulnerabilidad de ejecución remota de código no autenticada en Array Networks Array AG Series y vxAG que afecta versiones ≤9.4.0.481. El ataque explota validación inadecuada de un atributo flags en encabezados HTTP (CWE-306: Verificación de Autenticación Faltante) para obtener acceso al sistema de archivos y ejecución de código. La precondición es acceso de red al gateway SSL VPN; el impacto incluye compromiso total del sistema.