← voltar
CVE-2023-28461

CVE-2023-28461

CVSS 9.8 CRITICALEPSS 67.6%● KEVCWE-306
Em resumo

Gateways SSL VPN da Array Networks (versão 9.4.0.481 e anteriores) permitem que atacantes naveguem pelos arquivos do servidor e executem código remotamente sem autenticação. A falha ocorre no modo como o produto processa certos cabeçalhos HTTP, tornando essencial aplicar a correção imediatamente.

Detalhe técnico

CVE-2023-28461 é uma vulnerabilidade de execução remota de código não autenticada no Array Networks Array AG Series e vxAG, afetando versões ≤9.4.0.481. O ataque explora validação inadequada de um atributo flags em cabeçalhos HTTP (CWE-306: Verificação de Autenticação Ausente) para obter acesso ao sistema de arquivos e execução de código. A pré-condição é acesso de rede ao gateway SSL VPN; o impacto inclui comprometimento total do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Array Networks Array AG Series and vxAG (9.4.0.481 and earlier) allow remote code execution. An attacker can browse the filesystem on the SSL VPN gateway using a flags attribute in an HTTP header without authentication. The product could then be exploited through a vulnerable URL. The 2023-03-09 vendor advisory stated "a new Array AG release with the fix will be available soon."
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://support.arraynetworks.net/prx/001/http/supportportal.arraynetworks.net/documentation/FieldNotice/Array_Networks_Security_Advisory_for_Remote_Code_Execution_Vulnerability_AG.pdfhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-28461