СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
03.08.2024

Уязвимость BDU:2025-05642

Уязвимость BDU:2025-05642

Идентификатор: BDU:2025-05642.

Наименование уязвимости: Уязвимость функции HttpServletRequest.getParameter() системы централизованного управления мультимедийным контентом MagicINFO 9, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость функции HttpServletRequest.getParameter() системы централизованного управления мультимедийным контентом MagicINFO 9 связана с некорректным созданием пути файловой системы путем объединения постоянного каталога, временной метки и параметра fileName. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем загрузки вредоносных JSP-файлов
Уязвимое ПО: Прикладное ПО информационных систем Samsung Electronics MagicINFO 9 до 21.1050 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 03.08.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
Обновление программного обеспечения до версии 21.1052 и выше:
https://docs.samsungvx.com/docs/display/MS9/Release+Information?desktop=true&macroName=sv-translation#ReleaseInformation-MagicINFO9ServerHotfix(21.1052)ReleaseNotes.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-7399. ZDI-24-1128. ZDI-CAN-23326.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://ssd-disclosure.com/ssd-advisory-samsung-magicinfo-unauthenticated-rce/
https://security.samsungtv.com/securityUpdates
https://arcticwolf.com/resources/blog/cve-2024-7399/
https://www.zerodayinitiative.com/advisories/ZDI-CAN-23326
https://www.huntress.com/blog/rapid-response-samsung-magicinfo9-server-flaw
https://docs.samsungvx.com/docs/display/MS9/Release+Information?desktop=true&macroName=sv-translation#ReleaseInformation-MagicINFO9ServerHotfix(21.1052)ReleaseNotes

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: