BDU:2025-05752 | Уязвимость веб-сервиса xmlrpc программного обеспеч

BDU:2025-05752

Уязвимость веб-сервиса xmlrpc программного обеспечения межсетевого экрана UserGate Next-Generation Firewall (NGFW), единого центра управления UserGate Management Center (UGMC), системы сбора логов UserGate Log Analyzer (LogAn), UserGate Security Information and Event Management (SIEM), фаервола для веб-приложений UserGate Web Application Firewall (WAF), позволяющая нарушителю раскрыть защищаемую информацию

📄 Описание

Уязвимость веб-сервиса xmlrpc программного обеспечения межсетевого экрана UserGate Next-Generation Firewall (NGFW), единого центра управления UserGate Management Center (UGMC), системы сбора логов UserGate Log Analyzer (LogAn) связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

🖥️ Уязвимое ПО

ООО «Юзергейт»

Наименование ПО: UserGate Next-Generation Firewall (NGFW), UserGate Management Center (UGMC), UserGate Log Analyzer (LogAn), UserGate Security Information and Event Management (SIEM), UserGate Web Application Firewall (WAF)

Версия ПО: до 6.1.9.12186R включительно (UserGate Next-Generation Firewall (NGFW)), до 7.2.1.115866R включительно (UserGate Next-Generation Firewall (NGFW)), до 7.3.0.123359R включительно (UserGate Next-Generation Firewall (NGFW)), до 6.1.9.12186R включительно (UserGate Management Center (UGMC)), до 7.2.1.115866R включительно (UserGate Management Center (UGMC)), до 7.3.0.123359R включительно (UserGate Management Center (UGMC)), до 6.1.9.12186R включительно (UserGate Log Analyzer (LogAn)), до 7.2.1.115866R включительно (UserGate Log Analyzer (LogAn)), до 7.3.0.123359R включительно (UserGate Log Analyzer (LogAn)), до 7.2.1.115866R включительно (UserGate Security Information and Event Management (SIEM)), до 7.3.0.123359R включительно (UserGate Security Information and Event Management (SIEM)), до 7.3.0.123359R (UserGate Web Application Firewall (WAF))

Тип ПО: ПО программно-аппаратных средств защиты, Прикладное ПО информационных систем, Программное средство защиты

ОС / платформа: —

⚙️ Технические сведения

Тип ошибки

Недостаточная проверка вводимых данных (CWE-20)

Класс уязвимости

Уязвимость кода

Дата выявления

30.04.2025

Способ эксплуатации

Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Устранение

Уязвимость устранена

📊 CVSS

CVSS 2.0

AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 3.0

AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

⚠️ Уровень опасности

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

📅 Даты

Дата публикации

21.05.2025

Последнее обновление

21.05.2025

← Назад к списку

Детали уязвимости