CRITICAL🇬🇧 English

CVE-2024-36455

RCE bez uwierzytelnienia w systemie Broadcom PAM przez nieprawidłową walidację wejścia

CVSS 9.4v4.0pub. 2024-07-15upd. 2026-04-15

Podatność w systemie Broadcom PAM (Privileged Access Management) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń systemowych poprzez wysłanie specjalnie spreparowanego żądania HTTP. Ze względu na brak wymogu uwierzytelnienia i krytyczny wynik CVSS 9.4, podatność stanowi poważne zagrożenie dla infrastruktury zarządzania dostępem uprzywilejowanym.

Pokaż oryginał (EN)

An improper input validation allows an unauthenticated attacker to achieve remote command execution on the affected PAM system by sending a specially crafted HTTP request.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej walidacji danych wejściowych (CWE-665 — improper initialization/validation) w komponencie obsługującym żądania HTTP systemu PAM. Atakujący znajdujący się w sieci lokalnej (wektor AV:A) może wysłać specjalnie spreparowane żądanie HTTP bez konieczności posiadania jakichkolwiek poświadczeń. Żądanie to omija mechanizmy uwierzytelnienia i prowadzi do wykonania dowolnych poleceń na poziomie systemu operacyjnego urządzenia PAM.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem PAM, w tym wykonywać dowolne polecenia na serwerze, co w przypadku systemu zarządzania dostępem uprzywilejowanym może prowadzić do kompromitacji całej infrastruktury IT — przejęcia kont uprzywilejowanych, dostępu do krytycznych systemów oraz lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Broadcom pod adresem: https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24678. Do czasu zastosowania aktualizacji zaleca się ograniczenie dostępu do interfejsu HTTP systemu PAM wyłącznie do zaufanych segmentów sieci (firewall, segmentacja sieci).

Kogo dotyczy

Systemy Broadcom PAM (Privileged Access Management) — konkretne wersje wskazane w referencjach producenta (advisory Broadcom nr 24678)

CVSS Vector
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje