CRITICAL🇬🇧 English

CVE-2024-38292

Path traversal w Extreme Networks XIQ-SE umożliwiający privilege escalation

CVSS 9.8v3.1pub. 2025-02-27upd. 2025-07-11

W oprogramowaniu Extreme Networks XIQ-SE w wersjach przed 24.2.11 istnieje podatność path traversal wynikająca z braku kontroli dostępu. Błąd posiada krytyczny poziom CVSS 9.8 i może prowadzić do nieautoryzowanego podniesienia uprawnień przez sieciowego atakującego bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

In Extreme Networks XIQ-SE before 24.2.11, due to a missing access control check, a path traversal is possible, which may lead to privilege escalation.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-22 (path traversal) wynika z braku mechanizmu kontroli dostępu przy obsłudze ścieżek plików w systemie XIQ-SE. Atakujący może spreparować żądanie zawierające sekwencje przejścia po ścieżkach katalogów (np. '../'), aby uzyskać dostęp do zasobów poza dozwolonym obszarem systemu. Brak weryfikacji uprawnień pozwala na wykorzystanie tej ścieżki do przeprowadzenia privilege escalation bez konieczności posiadania jakichkolwiek poświadczeń.

Skutki

Nieuprawniony atakujący zdalny może uzyskać pełną kontrolę nad systemem — osiągając wysoki poziom naruszenia poufności, integralności i dostępności danych (C:H/I:H/A:H). Możliwe jest podniesienie uprawnień do poziomu administracyjnego lub systemowego.

Mitygacja

Należy zaktualizować Extreme Networks XIQ-SE do wersji 24.2.11 lub nowszej. Szczegółowe informacje o patchu dostępne są w oficjalnym komunikacie bezpieczeństwa producenta: https://community.extremenetworks.com/t5/security-advisories-formerly/sa-2024-104-xiq-se-path-traversal-privilege-escalation-cve-2024/ba-p/116362

Kogo dotyczy

Extreme Networks XIQ-SE w wersjach wcześniejszych niż 24.2.11

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Extremenetworks Xiq Se

    OS
    Extremenetworks
    < 24.2.11
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path TraversalLPE
CWE
Referencje

Powiązane podatności

CVE-2024-38291HIGH8.8ten sam produkt

In XIQ-SE before 24.2.11, a low-privileged user may be able to access admin passwords, which could lead to pri...

CVE-2024-38290MEDIUM5.3ten sam produkt

In XIQ-SE before 24.2.11, a server misconfiguration may allow user enumeration when specific conditions are me...

CVE-2023-43119CRITICAL9.8ten sam vendor

An Access Control issue discovered in Extreme Networks Switch Engine (EXOS) before 32.5.1.5, also fixed in 22....

CVE-2023-35803CRITICAL9.8ten sam vendor

IQ Engine before 10.6r2 on Extreme Network AP devices has a Buffer Overflow.

CVE-2023-35802CRITICAL9.8ten sam vendor

IQ Engine before 10.6r1 on Extreme Network AP devices has a Buffer Overflow in the implementation of the CAPWA...

CVE-2024-38292 — Path traversal w Extreme Networks XIQ-SE umożliwiający privilege escalation — CRITICAL 9.8 | CVEbaza.pl