ГлавнаяБаза уязвимостей БДУ → BDU:2025-05642
9высокая

BDU:2025-05642 (CVE-2024-7399)

Уязвимость функции HttpServletRequest.getParameter() системы централизованного управления мультимедийным контентом MagicINFO 9, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-05-26
Описание

Уязвимость функции HttpServletRequest.getParameter() системы централизованного управления мультимедийным контентом MagicINFO 9 связана с некорректным созданием пути файловой системы путем объединения постоянного каталога, временной метки и параметра fileName. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем загрузки вредоносных JSP-файлов

Затрагиваемое ПО и версии
MagicINFO 9 (до 21.1050 включительно)
Способ устранения

Использование рекомендаций:
Обновление программного обеспечения до версии 21.1052 и выше:
https://docs.samsungvx.com/docs/display/MS9/Release+Information?desktop=true&macroName=sv-translation#ReleaseInformation-MagicINFO9ServerHotfix(21.1052)ReleaseNotes

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://ssd-disclosure.com/ssd-advisory-samsung-magicinfo-unauthenticated-rce/https://security.samsungtv.com/securityUpdateshttps://arcticwolf.com/resources/blog/cve-2024-7399/https://www.zerodayinitiative.com/advisories/ZDI-CAN-23326https://www.huntress.com/blog/rapid-response-samsung-magicinfo9-server-flawhttps://docs.samsungvx.com/docs/display/MS9/Release+Information?desktop=true&macroName=sv-translation#ReleaseInformation-MagicINFO9ServerHotfix(21.1052)ReleaseNotes
Проверьте безопасность своего сайта и почты → Полная проверка домена