ГлавнаяБаза уязвимостей БДУ → BDU:2024-11466
6.6высокая

BDU:2024-11466 (CVE-2024-21545)

Уязвимость функции handle_api2_request() интерфейса платформы виртуализации Proxmox Virtual Environmen и средства защиты электронной почты Proxmox Mail Gateway, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных
Опубликовано: 2024-12-23
Описание

Уязвимость функции handle_api2_request() интерфейса платформы виртуализации Proxmox Virtual Environmen и средства защиты электронной почты Proxmox Mail Gateway связана с некорректным внешним управлением именем или путем файла при обработке объектов «download» или «data»->«download». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление данных

Затрагиваемое ПО и версии
АЛЬТ СП 10Proxmox VE (8)Proxmox VE (7)Proxmox Mail Gateway (8)Proxmox Mail Gateway (7)
Способ устранения

Использование рекомендаций поставщика
https://forum.proxmox.com/threads/proxmox-virtual-environment-security-advisories.149331/post-705345

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл6.6 — высокая опасность
Источники и патчи
https://vuldb.com/?id.278357https://azureserv.com/articles/proxmox-ve-cve-2024-21545-tricking-the-api/?__cpo=aHR0cHM6Ly9zbnlrLmlvhttps://git.proxmox.com/?p=pve-http-server.git;a=blob;f=src/PVE/APIServer/AnyEvent.pm;h=a8d60c18102d2eea9235720852fb60d90f405d0a;hb=HEAD#l988https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена