[TLP:CLEAR] VMware SD-WAN Edge a SD-WAN Orchestrator opravují 3 zranitelnosti
VMware SD-WAN Edge verzemi 5.0.1 a 4.5.1 a SD-WAN Orchestrator verzí 5.0.1 opravují 3 zranitelnosti [1].
Neautentizovanému útočníkovi s místním přístupem k uživatelskému rozhraní směrovače Edge během aktivace je umožněno vložit škodlivý příkaz, který může vést k úplnému ovládnutí směrovače [1].
Zranitelnost se nachází v produktu VMware SD-WAN Edge ve verzích (>=5.0.0 AND <5.0.1) OR (>=4.5.0 AND <4.5.1)
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-22246 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 2. 4. 2024.
Neautentizovanému vzdálenému útočníkovi je umožněno přesměrovat oběť na doménu ovládanou útočníkem kvůli nesprávnému zpracování cesty, což může vést k vyzrazení citlivých informací [1].
Zranitelnost se nachází v produktu VMware SD-WAN Orchestrator ve verzích >=5.0.0 AND <5.0.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
Více informací:
- CVE-2024-22248 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-601: URL Redirection to Untrusted Site ('Open Redirect') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 2. 4. 2024.
Neautentizovanému útočníkovi s fyzickým přístupem k zařízení SD-WAN Edge během aktivace je umožněno zneužít tuto zranitelnost k přístupu ke konfiguraci systému BIOS a dále je mu umožněno zneužít nastavenou výchozí prioritu bootování [1].
Zranitelnost se nachází v produktu VMware SD-WAN Edge ve verzích (>=5.0.0 AND <5.0.1) OR (>=4.5.0 AND <4.5.1)
CVSS: CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H
Více informací:
- CVE-2024-22247 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 2. 4. 2024.
Publikovala Michaela Mačalíková dne 5. 4. 2024.
