CRITICAL✓ PATCH🇬🇧 English

CVE-2024-45765

OS Command Injection w Dell Enterprise SONiC OS (wersje 4.1.x, 4.2.x)

CVSS 9.1v3.1pub. 2024-11-08upd. 2024-11-13

Dell Enterprise SONiC OS w wersjach 4.1.x oraz 4.2.x zawiera podatność typu OS command injection (CWE-78), umożliwiającą zdalnemu atakującemu z wysokimi uprawnieniami wykonanie dowolnych poleceń systemowych. Podatność jest szczególnie niebezpieczna, ponieważ pozwala na wykonanie komend z uprawnieniami wyższymi niż te, które posiada atakujący.

Pokaż oryginał (EN)

Dell Enterprise SONiC OS, version(s) 4.1.x, 4.2.x, contain(s) an Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability. A high privileged attacker with remote access could potentially exploit this vulnerability, leading to Command execution. This is a critical severity vulnerability as it allows high privilege OS commands to be executed with a less privileged role; so Dell recommends customers to upgrade at the earliest opportunity.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w danych wejściowych przekazywanych do poleceń systemu operacyjnego. Atakujący posiadający zdalny dostęp i wysokie, lecz ograniczone uprawnienia, może spreparować wejście zawierające złośliwe sekwencje poleceń, które zostaną zinterpretowane i wykonane przez system operacyjny. W efekcie możliwe jest wykonanie poleceń z poziomem uprawnień wyższym niż przypisany do konta atakującego, co stanowi jednocześnie eskalację uprawnień.

Skutki

Atakujący może wykonać dowolne polecenia systemowe z podwyższonymi uprawnieniami, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, naruszenia poufności i integralności danych oraz zakłócenia dostępności systemu.

Mitygacja

Dell rekomenduje jak najszybsze uaktualnienie systemu do wersji niezawierającej podatności. Szczegółowe informacje o dostępnych patchach dostępne są w biuletynie bezpieczeństwa DSA-2024-449 pod adresem: https://www.dell.com/support/kbdoc/en-us/000245655/dsa-2024-449-security-update-for-dell-enterprise-sonic-distribution-vulnerabilities

Kogo dotyczy

Dell Enterprise SONiC OS w wersjach 4.1.x oraz 4.2.x

Uwagi

Dell w oficjalnym komunikacie podkreślił pilność wdrożenia aktualizacji, zalecając klientom upgrade w możliwie najkrótszym czasie ('at the earliest opportunity'), co sugeruje wysoką ocenę ryzyka po stronie producenta mimo braku potwierdzonych przypadków wykorzystania podatności w środowisku produkcyjnym.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Dell Enterprise Sonic Distribution

    OS
    Dell
    4.1.0 – 4.1.6 (bez)4.2.0 – 4.2.2 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2024-45763CRITICAL9.1PL ✓ten sam produkt

OS Command Injection w Dell Enterprise SONiC OS 4.1.x i 4.2.x

CVE-2024-45764CRITICAL9.0PL ✓ten sam produkt

Dell Enterprise SONiC OS — pominięcie krytycznego kroku uwierzytelnienia

CVE-2023-32484CRITICAL9.8PL ✓ten sam produkt

Podatność improper input validation w Dell Enterprise SONiC — eskalacja uprawnień

CVE-2025-23374HIGH8.0ten sam produkt

Dell Networking Switches running Enterprise SONiC OS, version(s) prior to 4.4.1 and 4.2.3, contain(s) an Inser...

CVE-2023-24574HIGH7.5ten sam produkt

Dell Enterprise SONiC OS, 3.5.3, 4.0.0, 4.0.1, 4.0.2, contains an "Uncontrolled Resource Consumption vulnerab...