Уязвимость BDU:2023-05312

Уязвимость BDU:2023-05312

Идентификатор: BDU:2023-05312.

Наименование уязвимости: Уязвимость прокси-сервера программного средства Zscaler Client Connector, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии.

Описание уязвимости: Уязвимость прокси-сервера программного средства Zscaler Client Connector связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю обойти ограничения безопасности и повысить свои привилегии путем отправки специально созданных запросов
Уязвимое ПО: Прикладное ПО информационных систем, ПО виртуализации/ПО виртуального программно-аппаратного средства Zscaler, Inc. Zscaler Client Connector до 3.6.1.25 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 31.08.2022.
CVSS 2.0: AV:L/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению:
Использование рекомендаций:
https://help.zscaler.com/zscaler-client-connector/client-connector-app-release-summary-2021
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-41717.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://vuldb.com/ru/?id.238485
https://github.com/advisories/GHSA-vfqw-vpr8-pmjg
https://github.com/federella/CVE-2023-41717

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: