Podatność w komponencie GFIAgent oprogramowania GFI Kerio Control 9.4.5 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonywanie uprzywilejowanych operacji bez konieczności logowania. Ze względu na brak jakiegokolwiek mechanizmu uwierzytelnienia na eksponowanych portach HTTP, podatność otrzymała maksymalny wynik CVSS 10.0.
▸ Pokaż oryginał (EN)
A missing authentication vulnerability in the GFIAgent component of GFI Kerio Control 9.4.5 allows unauthenticated remote attackers to perform privileged operations. The GFIAgent service, responsible for integration with GFI AppManager, exposes HTTP services on ports 7995 and 7996 without proper authentication. The /proxy handler on port 7996 allows arbitrary forwarding to administrative endpoints when provided with an Appliance UUID, which itself can be retrieved from port 7995. This results in a complete authentication bypass, permitting access to sensitive administrative APIs.
Usługa GFIAgent, odpowiedzialna za integrację z GFI AppManager, udostępnia interfejsy HTTP na portach 7995 i 7996 bez żadnego uwierzytelnienia. Port 7995 ujawnia identyfikator urządzenia (Appliance UUID), który następnie może zostać przekazany do handlera /proxy na porcie 7996. Handler /proxy pozwala na dowolne przekierowanie żądań do wewnętrznych, administracyjnych punktów końcowych (endpoints), omijając w ten sposób całkowicie mechanizmy kontroli dostępu. W efekcie atakujący uzyskuje pełny dostęp do wrażliwych administracyjnych API systemu.
Atakujący bez żadnych uprawnień może zdalnie wykonywać uprzywilejowane operacje administracyjne na urządzeniu, co w połączeniu z możliwością dostępu do wewnętrznych API może prowadzić do całkowitego przejęcia systemu, w tym potencjalnie do RCE.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do portów 7995 i 7996 wyłącznie do zaufanych hostów przy użyciu reguł firewall, do czasu wdrożenia oficjalnej poprawki.
GFI Kerio Control w wersji 9.4.5
Referencje wskazują na powiązanie podatności auth bypass z możliwością RCE (zgodnie z tytułami opublikowanych poradników bezpieczeństwa SSD Disclosure i VulnCheck). Brak wpisu w CISA KEV na moment publikacji (2025-07-02).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XGfi Kerio Control
APPGfi9.4.5
Powiązane podatności
Authentication Bypass w GFI Kerio Control — pełny dostęp admina bez uwierzytelnienia
RCE w GFI Kerio Control poprzez mechanizm aktualizacji firmware
An issue was discovered in GFI Kerio Control 9.2.5 through 9.4.5. The dest GET parameter passed to the /nonaut...
A DOM based XSS in GFI Kerio Control v9.3.0 allows embedding of malicious code and manipulating the login page...
GFI Archiver MArc.Core — pominięcie autoryzacji (Authentication Bypass)