Laburpen exekutiboa
SMA100 kudeaketa interfazean identifikatutako kalteberatasunak arrisku ertaina dakar, 6.5 puntu dituen CVSS puntuazioarekin. Kalteberatasun hau elementu berezien neutralizazio ezegokiaren ondorioz sortzen da, komando arbitrarioen injezioa ahalbidetzen duena urrutiko erasotzaile baimendu baten eskutik. Ekintzak "nobody" erabiltzaile gisa burutzen diren arren, honek Zerbitzu Ukoeraren (DoS) erasora eraman dezake. Oso garrantzitsua da mitigazio neurriak planifikatu eta ezartzea arrisku asoziatua minimizatzeko.
Eragindako baliabideak
- SonicWall SMA100 Appliances (ez dira bertsioak zehazten)
Azterketa teknikoa
- CVE-2021-20035: SMA100 kudeaketa interfazean elementu berezien neutralizazio ezegokia erasotzaile urrutiko baimendu batek "nobody" erabiltzaile gisa komando arbitrarioak injezta dezake, honek Zerbitzu Ukoeraren (DoS) erasora eraman dezakeela.
- CWE-78
- CVSS: 6.5 (ertaina)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- Explotazioa: Detektatua
Arintzea/Konponbidea
SonicWall fabrikatzaileak gomendatzen du mitigazioak aplikatzea hornitzailearen argibideen arabera SMA100 gailurako, kudeaketa interfazean sistema eragilearen komando injezioaren kalteberatasuna duelarik. BOD 22-01 gida aplikagarriaren arabera, hau bereziki garrantzitsua da hodei zerbitzuetarako. Gainera, mitigazioak ez badira eskuragarri, produktua erabiltzeari uztea kontuan hartu beharko litzateke. Xehetasun gehiagorako, hurrengo esteketan kontsulta daiteke: SonicWall Security Update eta Details on CVE-2021-20035.