ГлавнаяБаза уязвимостей БДУ → BDU:2025-01233
8.3критическая

BDU:2025-01233 (CVE-2025-24503)

Уязвимость средства управления доступом Symantec Privileged Access Management, связанная с подделкой межсайтовых запросов, позволяющая нарушителю выполнить перехват сеанса пользователя
Опубликовано: 2025-02-06
Описание

Уязвимость средства управления доступом Symantec Privileged Access Management связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить перехват сеанса пользователя

Затрагиваемое ПО и версии
Symantec Privileged Access Management (3.4.6)Symantec Privileged Access Management (от 4.1.0 до 4.1.8 включительно)Symantec Privileged Access Management (4.2.0)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF);
- использование «белого» списка IP-адресов для ограничения удалённого доступа к уязвимому программному обеспечению;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
Обновление уязвимого программного обеспечения до версии 4.2.1 и выше
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25362

Оценка CVSS
Балл8.3 — критическая опасность
Источники и патчи
https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/privileged-access-manager-hotfixes/Current/4-2-hotfix/4-2-0-60-hotfix.htmlhttps://www.cve.org/CVERecord?id=CVE-2025-24503https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/privileged-access-manager-hotfixes/Current/4-1-8-hotfix/4-1-8-60-hotfix.html
Проверьте безопасность своего сайта и почты → Полная проверка домена