Уязвимость BDU:2023-04502

Идентификатор: BDU:2023-04502.
Наименование уязвимости: Уязвимость компонента cgi-bin/hosts_dns.tcl веб-интерфейса настройки Gaia Portal операционной системы Gaia сетевых устройств Quantum Security Gateways и Quantum Appliances, позволяющая нарушителю выполнить произвольные команды.
Описание уязвимости: Уязвимость компонента cgi-bin/hosts_dns.tcl веб-интерфейса настройки Gaia Portal операционной системы Gaia сетевых устройств Quantum Security Gateways и Quantum Appliances связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы при обработке параметра hostname. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
Уязвимое ПО: Операционная система Check Point Software Technologies Ltd. Gaia R80.20SP | Операционная система Check Point Software Technologies Ltd. Gaia R80.30SP | Операционная система Check Point Software Technologies Ltd. Gaia R80.40 | Операционная система Check Point Software Technologies Ltd. Gaia R81 | Операционная система Check Point Software Technologies Ltd. Gaia R81.10 | Операционная система Check Point Software Technologies Ltd. Gaia R81.20 |
Наименование ОС и тип аппаратной платформы: Gaia R8020SP | Gaia R8030SP | Gaia R8040 | Gaia R81 | Gaia R8110 | Gaia R8120 |
Дата выявления: 08.03.2023.
CVSS 2.0: AV:N/AC:M/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,4)
Возможные меры по устранению:
Использование рекомендаций:
https://support.checkpoint.com/results/sk/sk181311.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-28130.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://packetstormsecurity.com/files/173918/Checkpoint-Gaia-Portal-R81.10-Remote-Command-Execution.html
http://seclists.org/fulldisclosure/2023/Aug/4
https://pentests.nl/pentest-blog/cve-2023-28130-command-injection-in-check-point-gaia-portal/
https://support.checkpoint.com/results/sk/sk181311



