CRITICAL✓ PATCH🇬🇧 English

CVE-2026-39920

BridgeHead FileStore — RCE przez domyślne dane logowania Apache Axis2

CVSS 9.3v4.0pub. 2026-04-24

BridgeHead FileStore w wersjach wcześniejszych niż 24A udostępnia moduł administracyjny Apache Axis2 z domyślnymi danymi uwierzytelniającymi na interfejsach sieciowych, co pozwala nieuwierzytelnionemu atakującemu zdalnie wykonać dowolne polecenia systemu operacyjnego. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

BridgeHead FileStore versions prior to 24A (released in early 2024) expose the Apache Axis2 administration module on network-accessible endpoints with default credentials that allows unauthenticated remote attackers to execute arbitrary OS commands. Attackers can authenticate to the admin console using default credentials, upload a malicious Java archive as a web service, and execute arbitrary commands on the host via SOAP requests to the deployed service.

🤖 Analiza AI
Jak działa

Atakujący łączy się zdalnie z interfejsem administracyjnym Apache Axis2, który jest dostępny przez sieć i skonfigurowany z domyślnymi danymi logowania. Po uwierzytelnieniu przy użyciu tych domyślnych danych, atakujący przesyła złośliwe archiwum Java (JAR) jako web service. Następnie za pomocą żądań SOAP do wdrożonej usługi wykonuje dowolne polecenia na serwerze hosta. Podatność wynika z dwóch słabości: niezabezpieczonej domyślnej konfiguracji (CWE-1188) oraz użycia słabych lub domyślnych danych uwierzytelniających (CWE-1391).

Skutki

Atakujący uzyskuje możliwość wykonania dowolnych poleceń systemu operacyjnego na serwerze z prawami procesu usługi, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych oraz dalszego ruchu lateralnego w sieci.

Mitygacja

Należy zaktualizować BridgeHead FileStore do wersji 24A lub nowszej. Dodatkowo, niezależnie od aktualizacji, należy niezwłocznie zmienić domyślne dane logowania do modułu administracyjnego Apache Axis2 oraz rozważyć ograniczenie dostępu sieciowego do interfejsu administracyjnego wyłącznie do zaufanych adresów IP za pomocą firewall lub reguł sieciowych.

Kogo dotyczy

BridgeHead FileStore w wersjach wcześniejszych niż 24A (wydana na początku 2024 roku)

Uwagi

Wersja patcha 24A została wydana na początku 2024 roku zgodnie z opisem producenta. Publicznie dostępne jest proof-of-concept na GitHub (gist.github.com/VAMorales), co zwiększa ryzyko wykorzystania podatności.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje