CRITICAL🇬🇧 English

CVE-2024-4196

RCE poprzez improper input validation w Avaya IP Office (Web Control)

CVSS 10.0v3.1pub. 2024-06-25upd. 2025-10-01

Podatność improper input validation w komponencie Web Control systemu Avaya IP Office umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń lub kodu na serwerze. Krytyczny wynik CVSS 10.0 odzwierciedla pełny zakres możliwych skutków bez jakichkolwiek warunków wstępnych.

Pokaż oryginał (EN)

An improper input validation vulnerability was discovered in Avaya IP Office that could allow remote command or code execution via a specially crafted web request to the Web Control component. Affected versions include all versions prior to 11.1.3.1.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie HTTP do komponentu Web Control systemu Avaya IP Office. Brak poprawnej walidacji danych wejściowych pozwala na przemycenie złośliwych danych, które są następnie interpretowane i wykonywane przez system jako polecenia lub kod. Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika, a jego skutki wykraczają poza granice atakowanego komponentu (scope changed).

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem, w tym odczytać i zmodyfikować poufne dane oraz zakłócić dostępność usług — co odpowiada maksymalnemu poziomowi wpływu na poufność, integralność i dostępność.

Mitygacja

Należy jak najszybciej zaktualizować Avaya IP Office do wersji 11.1.3.1 lub nowszej. Szczegółowe informacje o patchu dostępne są w oficjalnym biuletynie bezpieczeństwa Avaya pod adresem: https://download.avaya.com/css/public/documents/101090768

Kogo dotyczy

Wszystkie wersje Avaya IP Office wcześniejsze niż 11.1.3.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Avaya Ip Office

    APP
    Avaya
    < 11.1.3.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-4197CRITICAL9.9PL ✓ten sam produkt

Unrestricted file upload umożliwiający RCE w Avaya IP Office (One-X)

CVE-2017-11309CRITICAL9.6ten sam produkt

Buffer overflow in the SoftConsole client in Avaya IP Office before 10.1.1 allows remote servers to execute ar...

CVE-2021-25657HIGH7.8ten sam produkt

A privilege escalation vulnerability was discovered in Avaya IP Office Admin Lite and USB Creator that may pot...

CVE-2019-7005HIGH7.5ten sam produkt

A vulnerability was discovered in the web interface component of IP Office that may potentially allow a remote...

CVE-2016-5285HIGH7.5ten sam produkt

A Null pointer dereference vulnerability exists in Mozilla Network Security Services due to a missing NULL che...