ГлавнаяБаза уязвимостей БДУ → BDU:2024-05175
10критическая

BDU:2024-05175 (CVE-2024-23692)

Уязвимость файлового сервера HTTP File Server, связанная с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2024-07-10
Описание

Уязвимость файлового сервера HTTP File Server связана с непринятием мер по нейтрализации специальных элементов в механизме создания шаблонов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированных HTTP-запросов с параметром search

Затрагиваемое ПО и версии
HTTP File Server (HFS) (до 2.3m включительно)
Способ устранения

Использование рекомендаций:
В связи с окончанием поддержки ветки 2.x данного программного продукта, пользователям рекомендуется перейти на ветку 3.x HFS: HTTP File Server (version 3):
https://github.com/rejetto/hfs

Компенсирующие меры:
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимостей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- построение инфраструктуры открытых ключей (PKI) для создания сертификатов идентификации пользователя и передачи зашифрованной информации через криптографический протокол SSL/TLS;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/rapid7/metasploit-framework/pull/19240https://mohemiv.com/all/rejetto-http-file-server-2-3m-unauthenticated-rce/https://vulncheck.com/advisories/rejetto-unauth-rcehttps://attackerkb.com/topics/d9AVVdmNhH/cve-2024-23692/vuln-detailshttps://github.com/jakabakos/CVE-2024-23692-RCE-in-Rejetto-HFShttps://github.com/0x20c/CVE-2024-23692-EXPhttps://mohemiv.com/all/rejetto-http-file-server-2-3m-unauthenticated-rce/https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена