CRITICAL🇬🇧 English

CVE-2025-2244

Niebezpieczna deserializacja PHP w Bitdefender GravityZone Console (RCE)

CVSS 9.5v4.0pub. 2025-04-04upd. 2025-07-30

Podatność w metodzie sendMailFromRemoteSource w pliku Emails.php aplikacji Bitdefender GravityZone Console umożliwia atakującemu zdalne wykonanie kodu na serwerze. Wynika z braku walidacji danych wejściowych przekazywanych do funkcji PHP unserialize(), co czyni ją krytycznie niebezpieczną.

Pokaż oryginał (EN)

A vulnerability in the sendMailFromRemoteSource method in Emails.php  as used in Bitdefender GravityZone Console unsafely uses php unserialize() on user-supplied input without validation. By crafting a malicious serialized payload, an attacker can trigger PHP object injection, perform a file write, and gain arbitrary command execution on the host system.

🤖 Analiza AI
Jak działa

Aplikacja wywołuje funkcję PHP unserialize() na danych dostarczonych przez użytkownika bez jakiejkolwiek weryfikacji ich poprawności lub bezpieczeństwa. Atakujący może spreparować złośliwy, odpowiednio sformatowany payload serializowany i przesłać go do podatnej metody. Powoduje to PHP object injection — wstrzyknięcie obiektu PHP, które następnie może być wykorzystane do zapisu pliku na serwerze. Zapis arbitralnego pliku umożliwia ostatecznie uruchomienie dowolnych poleceń systemowych na hoście.

Skutki

Nieuwierzytelniony, zdalny atakujący może uzyskać pełną kontrolę nad systemem hostującym konsolę Bitdefender GravityZone, w tym wykonywać dowolne polecenia systemowe z uprawnieniami procesu aplikacji. Może to prowadzić do przejęcia całego środowiska zarządzanego przez konsolę bezpieczeństwa.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (advisory producenta: VA-12634, dostępne pod adresem bitdefender.com/support/security-advisories/insecure-php-deserialization-issue-in-gravityzone-console-va-12634)

Kogo dotyczy

Bitdefender GravityZone Console — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Bitdefender Gravityzone

    APP
    Bitdefender
    < 6.41.2-1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2024-6980CRITICAL9.2PL ✓ten sam produkt

SSRF przez błędną obsługę błędów w GravityZone Update Server

CVE-2021-3554CRITICAL9.0ten sam produkt

Improper Access Control vulnerability in the patchesUpdate API as implemented in Bitdefender Endpoint Security...

CVE-2017-8931CRITICAL9.8ten sam produkt

Bitdefender GravityZone VMware appliance before 6.2.1-35 might allow attackers to gain access with root privil...

CVE-2018-8955CRITICAL9.8ten sam produkt

The installer for BitDefender GravityZone relies on an encoded string in a filename to determine the URL for i...

CVE-2024-4177HIGH8.1ten sam produkt

A host whitelist parser issue in the proxy service implemented in the GravityZone Update Server allows an atta...

CVE-2025-2244 — Niebezpieczna deserializacja PHP w Bitdefender GravityZone Console (RCE) — CRITICAL 9.5 | CVEbaza.pl