CRITICAL✓ PATCH🇬🇧 English

CVE-2025-34070

GFI Kerio Control – pominięcie uwierzytelnienia w komponencie GFIAgent (Auth Bypass)

CVSS 10.0v4.0pub. 2025-07-02upd. 2025-09-17

Podatność w komponencie GFIAgent oprogramowania GFI Kerio Control 9.4.5 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonywanie uprzywilejowanych operacji bez konieczności logowania. Ze względu na brak jakiegokolwiek mechanizmu uwierzytelnienia na eksponowanych portach HTTP, podatność otrzymała maksymalny wynik CVSS 10.0.

Pokaż oryginał (EN)

A missing authentication vulnerability in the GFIAgent component of GFI Kerio Control 9.4.5 allows unauthenticated remote attackers to perform privileged operations. The GFIAgent service, responsible for integration with GFI AppManager, exposes HTTP services on ports 7995 and 7996 without proper authentication. The /proxy handler on port 7996 allows arbitrary forwarding to administrative endpoints when provided with an Appliance UUID, which itself can be retrieved from port 7995. This results in a complete authentication bypass, permitting access to sensitive administrative APIs.

🤖 Analiza AI
Jak działa

Usługa GFIAgent, odpowiedzialna za integrację z GFI AppManager, udostępnia interfejsy HTTP na portach 7995 i 7996 bez żadnego uwierzytelnienia. Port 7995 ujawnia identyfikator urządzenia (Appliance UUID), który następnie może zostać przekazany do handlera /proxy na porcie 7996. Handler /proxy pozwala na dowolne przekierowanie żądań do wewnętrznych, administracyjnych punktów końcowych (endpoints), omijając w ten sposób całkowicie mechanizmy kontroli dostępu. W efekcie atakujący uzyskuje pełny dostęp do wrażliwych administracyjnych API systemu.

Skutki

Atakujący bez żadnych uprawnień może zdalnie wykonywać uprzywilejowane operacje administracyjne na urządzeniu, co w połączeniu z możliwością dostępu do wewnętrznych API może prowadzić do całkowitego przejęcia systemu, w tym potencjalnie do RCE.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do portów 7995 i 7996 wyłącznie do zaufanych hostów przy użyciu reguł firewall, do czasu wdrożenia oficjalnej poprawki.

Kogo dotyczy

GFI Kerio Control w wersji 9.4.5

Uwagi

Referencje wskazują na powiązanie podatności auth bypass z możliwością RCE (zgodnie z tytułami opublikowanych poradników bezpieczeństwa SSD Disclosure i VulnCheck). Brak wpisu w CISA KEV na moment publikacji (2025-07-02).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Gfi Kerio Control

    APP
    Gfi
    9.4.5
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-34069CRITICAL9.5PL ✓ten sam produkt

Authentication Bypass w GFI Kerio Control — pełny dostęp admina bez uwierzytelnienia

CVE-2025-34071CRITICAL9.4PL ✓ten sam produkt

RCE w GFI Kerio Control poprzez mechanizm aktualizacji firmware

CVE-2024-52875HIGH8.8ten sam produkt

An issue was discovered in GFI Kerio Control 9.2.5 through 9.4.5. The dest GET parameter passed to the /nonaut...

CVE-2019-16414MEDIUM6.1ten sam produkt

A DOM based XSS in GFI Kerio Control v9.3.0 allows embedding of malicious code and manipulating the login page...

CVE-2026-2038CRITICAL9.8PL ✓ten sam vendor

GFI Archiver MArc.Core — pominięcie autoryzacji (Authentication Bypass)