CRITICAL🇬🇧 English

CVE-2025-6704

Sophos Firewall SPX – pre-auth RCE przez zapis dowolnych plików

CVSS 9.8v3.1pub. 2025-07-21upd. 2025-08-18

Podatność w funkcji Secure PDF eXchange (SPX) systemu Sophos Firewall umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Wysoki wynik CVSS 9.8 oraz brak wymogu jakiegokolwiek uwierzytelnienia czynią tę lukę wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

An arbitrary file writing vulnerability in the Secure PDF eXchange (SPX) feature of Sophos Firewall versions older than 21.0 MR2 (21.0.2) can lead to pre-auth remote code execution, if a specific configuration of SPX is enabled in combination with the firewall running in High Availability (HA) mode.

🤖 Analiza AI
Jak działa

Błąd polega na możliwości zapisu dowolnych plików (arbitrary file writing) w module SPX. Podatność jest aktywna wyłącznie wtedy, gdy funkcja SPX jest włączona i jednocześnie urządzenie działa w trybie High Availability (HA). Połączenie tych dwóch warunków konfiguracyjnych tworzy wektor ataku dostępny bez uwierzytelnienia przez sieć, co odpowiada klasyfikacji CWE-78 (command injection) i może prowadzić do wykonania dowolnych poleceń systemowych.

Skutki

Atakujący bez żadnych uprawnień może zdalnie wykonać dowolny kod na urządzeniu firewall, uzyskując pełną kontrolę nad systemem, w tym dostęp do poufnych danych, możliwość modyfikacji konfiguracji oraz potencjalne przejęcie ruchu sieciowego chronionego przez urządzenie.

Mitygacja

Należy zaktualizować Sophos Firewall do wersji 21.0 MR2 (21.0.2) lub nowszej. Jako doraźny środek zaradczy, jeśli aktualizacja nie jest natychmiastowo możliwa, należy rozważyć wyłączenie funkcji SPX lub trybu High Availability (HA) do czasu wdrożenia patcha. Szczegóły dostępne w oficjalnym komunikacie bezpieczeństwa producenta: https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce

Kogo dotyczy

Sophos Firewall we wszystkich wersjach starszych niż 21.0 MR2 (21.0.2), przy jednoczesnym spełnieniu obu warunków: włączona funkcja SPX oraz tryb High Availability (HA).

Uwagi

Podatność dotyczy wyłącznie specyficznej kombinacji konfiguracyjnej: SPX musi być aktywny i urządzenie musi działać w trybie HA. Urządzenia bez tej konfiguracji nie są podatne.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Sophos Firewall

    HW
    Sophos
    wszystkie wersje
  • Sophos Firewall Firmware

    OS
    Sophos
    < 21.0.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEFirewallCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2022-3236CRITICAL9.8⚠ KEVten sam produkt

A code injection vulnerability in the User Portal and Webadmin allows a remote attacker to execute code in Sop...

CVE-2025-7624CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Sophos Firewall SMTP Proxy prowadzące do RCE

CVE-2024-12728CRITICAL9.8PL ✓ten sam produkt

Słabe dane uwierzytelniające SSH w Sophos Firewall – nieautoryzowany dostęp uprzywilejowany

CVE-2024-12727CRITICAL9.8PL ✓ten sam produkt

Pre-auth SQL injection w Sophos Firewall umożliwiający RCE

CVE-2024-13974HIGH8.1ten sam produkt

A business logic vulnerability in the Up2Date component of Sophos Firewall older than version 21.0 MR1 (20.0.1...