W oprogramowaniu Extreme Networks XIQ-SE w wersjach przed 24.2.11 istnieje podatność path traversal wynikająca z braku kontroli dostępu. Błąd posiada krytyczny poziom CVSS 9.8 i może prowadzić do nieautoryzowanego podniesienia uprawnień przez sieciowego atakującego bez żadnego uwierzytelnienia.
▸ Pokaż oryginał (EN)
In Extreme Networks XIQ-SE before 24.2.11, due to a missing access control check, a path traversal is possible, which may lead to privilege escalation.
Podatność sklasyfikowana jako CWE-22 (path traversal) wynika z braku mechanizmu kontroli dostępu przy obsłudze ścieżek plików w systemie XIQ-SE. Atakujący może spreparować żądanie zawierające sekwencje przejścia po ścieżkach katalogów (np. '../'), aby uzyskać dostęp do zasobów poza dozwolonym obszarem systemu. Brak weryfikacji uprawnień pozwala na wykorzystanie tej ścieżki do przeprowadzenia privilege escalation bez konieczności posiadania jakichkolwiek poświadczeń.
Nieuprawniony atakujący zdalny może uzyskać pełną kontrolę nad systemem — osiągając wysoki poziom naruszenia poufności, integralności i dostępności danych (C:H/I:H/A:H). Możliwe jest podniesienie uprawnień do poziomu administracyjnego lub systemowego.
Należy zaktualizować Extreme Networks XIQ-SE do wersji 24.2.11 lub nowszej. Szczegółowe informacje o patchu dostępne są w oficjalnym komunikacie bezpieczeństwa producenta: https://community.extremenetworks.com/t5/security-advisories-formerly/sa-2024-104-xiq-se-path-traversal-privilege-escalation-cve-2024/ba-p/116362
Extreme Networks XIQ-SE w wersjach wcześniejszych niż 24.2.11
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HExtremenetworks Xiq Se
OSExtremenetworks< 24.2.11
Powiązane podatności
In XIQ-SE before 24.2.11, a low-privileged user may be able to access admin passwords, which could lead to pri...
In XIQ-SE before 24.2.11, a server misconfiguration may allow user enumeration when specific conditions are me...
An Access Control issue discovered in Extreme Networks Switch Engine (EXOS) before 32.5.1.5, also fixed in 22....
IQ Engine before 10.6r2 on Extreme Network AP devices has a Buffer Overflow.
IQ Engine before 10.6r1 on Extreme Network AP devices has a Buffer Overflow in the implementation of the CAPWA...