CRITICAL🇬🇧 English

CVE-2023-45894

RCE w Parallels Remote Application Server przez brak segmentacji aplikacji

CVSS 10.0v3.1pub. 2023-12-14upd. 2024-11-21

Parallels Remote Application Server (RAS) przed wersją 19.2.23975 nie izoluje wirtualizowanych aplikacji od systemu serwerowego, umożliwiając zdalnemu atakującemu wykonanie dowolnego kodu. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie krytyczną.

Pokaż oryginał (EN)

The Remote Application Server in Parallels RAS before 19.2.23975 does not segment virtualized applications from the server, which allows a remote attacker to achieve remote code execution via standard kiosk breakout techniques.

🤖 Analiza AI
Jak działa

Błąd polega na braku odpowiedniej segmentacji (izolacji) wirtualizowanych aplikacji od środowiska serwera hosta. Atakujący bez żadnego uwierzytelnienia, działając zdalnie przez sieć, może zastosować techniki określane jako kiosk breakout — czyli metody ucieczkowe znane z ograniczonych środowisk kiosk/terminal — aby wydostać się z kontekstu wirtualizowanej aplikacji i uzyskać dostęp do systemu bazowego. W rezultacie możliwe jest wykonanie dowolnych poleceń na serwerze (RCE).

Skutki

Atakujący może przejąć pełną kontrolę nad serwerem, uzyskując możliwość odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz dalszego rozprzestrzeniania się w infrastrukturze organizacji (lateral movement).

Mitygacja

Należy niezwłocznie zaktualizować Parallels Remote Application Server do wersji 19.2.23975 lub nowszej. Szczegóły dostępne w referencjach producenta oraz w raporcie badaczy pod adresem wskazanym w sekcji referencji CVE.

Kogo dotyczy

Parallels Remote Application Server (RAS) we wszystkich wersjach przed 19.2.23975

Uwagi

Podatność została opublikowana przez badaczy z repozytorium Oracle-Security na GitHub. Pomimo braku wpisu w CISA KEV, maksymalny wynik CVSS 10.0 oraz publiczne ujawnienie techniki ataku (kiosk breakout) w repozytorium GitHub znacząco zwiększają ryzyko eksploatacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Parallels Remote Application Server

    APP
    Parallels
    < 19.2.23975
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2020-15860CRITICAL9.9ten sam produkt

Parallels Remote Application Server (RAS) 17.1.1 has a Business Logic Error causing remote code execution. It ...

CVE-2025-0413HIGH7.8ten sam produkt

Parallels Desktop Technical Data Reporter Link Following Local Privilege Escalation Vulnerability. This vulne...

CVE-2022-40870HIGH8.1ten sam produkt

The Web Client of Parallels Remote Application Server v18.0 is vulnerable to Host Header Injection attacks. Th...

CVE-2020-8968HIGH7.1ten sam produkt

Parallels Remote Application Server (RAS) allows a local attacker to retrieve certain profile password in clea...

CVE-2017-9447HIGH7.5ten sam produkt

In the web interface of Parallels Remote Application Server (RAS) 15.5 Build 16140, a vulnerability exists due...

CVE-2023-45894 — RCE w Parallels Remote Application Server przez brak segmentacji aplikacji — CRITICAL 10.0 | CVEbaza.pl