CRITICAL✓ PATCH🇬🇧 English

CVE-2024-6980

SSRF przez błędną obsługę błędów w GravityZone Update Server

CVSS 9.2v4.0pub. 2024-07-31upd. 2025-02-07

Podatność w usłudze proxy serwera aktualizacji Bitdefender GravityZone pozwala atakującemu na przeprowadzenie ataku SSRF (server-side request forgery). Problem wynika z nadmiernie szczegółowej obsługi błędów i dotyczy wyłącznie instalacji lokalnych (on-premise) konsoli GravityZone przed wersją 6.38.1-5.

Pokaż oryginał (EN)

A verbose error handling issue in the proxy service implemented in the GravityZone Update Server allows an attacker to cause a server-side request forgery. This issue only affects GravityZone Console versions before 6.38.1-5 running only on premise.

🤖 Analiza AI
Jak działa

Usługa proxy w GravityZone Update Server w sposób zbyt szczegółowy ujawnia informacje o błędach (CWE-209), co umożliwia atakującemu manipulowanie żądaniami po stronie serwera (CWE-918). Wykorzystując tę lukę, nieuwierzytelniony atakujący zdalnie może skłonić serwer do wykonywania żądań HTTP do wewnętrznych zasobów sieciowych. Atak jest możliwy bez interakcji użytkownika, jednak wymaga pewnej złożoności po stronie atakującego (AC:H zgodnie z wektorem CVSS).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wewnętrznych zasobów i usług sieciowych niedostępnych bezpośrednio z zewnątrz, co może prowadzić do ujawnienia poufnych danych lub dalszego naruszenia integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Bitdefender GravityZone Console do wersji 6.38.1-5 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym poradniku bezpieczeństwa Bitdefender pod adresem wskazanym w referencjach.

Kogo dotyczy

Bitdefender GravityZone Console w wersjach przed 6.38.1-5, działających wyłącznie w trybie on-premise (instalacje lokalne). Instalacje w chmurze nie są podatne.

Uwagi

Podatność dotyczy wyłącznie wdrożeń on-premise. Środowiska korzystające z GravityZone w wersji chmurowej nie są narażone na to zagrożenie.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Bitdefender Gravityzone

    APP
    Bitdefender
    < 6.38.1-5
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2025-2244CRITICAL9.5PL ✓ten sam produkt

Niebezpieczna deserializacja PHP w Bitdefender GravityZone Console (RCE)

CVE-2021-3554CRITICAL9.0ten sam produkt

Improper Access Control vulnerability in the patchesUpdate API as implemented in Bitdefender Endpoint Security...

CVE-2017-8931CRITICAL9.8ten sam produkt

Bitdefender GravityZone VMware appliance before 6.2.1-35 might allow attackers to gain access with root privil...

CVE-2018-8955CRITICAL9.8ten sam produkt

The installer for BitDefender GravityZone relies on an encoded string in a filename to determine the URL for i...

CVE-2024-4177HIGH8.1ten sam produkt

A host whitelist parser issue in the proxy service implemented in the GravityZone Update Server allows an atta...