中危 Bitdefender Endpoint Security Tools访问控制错误漏洞
CVE编号
CVE-2021-3554利用情况
暂无补丁情况
官方补丁披露时间
2021-11-29漏洞描述
Bitdefender Endpoint Security Tool是罗马尼亚比特梵德(Bitdefender)公司的一款终端安全管理工具。 Bitdefender Endpoint Security Tools、Bitdefender Unified Endpoint和Bitdefender GravityZone的patchesUpdate API存在访问控制错误漏洞。攻击者可利用该漏洞操纵用于提取补丁的远程地址。 受影响系统: BitDefender Endpoint Security Tool < 7.1.2.33 BitDefender Endpoint Security Tool < 6.6.27.390 BitDefender GravityZone < 6.24.1-1 BitDefender Unified Endpoint < 6.2.21.160解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://www.bitdefender.com/support/security-advisories/insufficient-validation-regular-expression-eppupdateservice-config-file-va-9825
参考链接 |
|
|---|---|
| https://www.bitdefender.com/support/security-advisories/improper-access-contr... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | bitdefender | endpoint_security_tools | * | Up to (excluding) 6.6.27.390 | |||||
| 运行在以下环境 | |||||||||
| 应用 | bitdefender | endpoint_security_tools | * | From (including) 7.0.0.00 | Up to (excluding) 7.1.2.33 | ||||
| 运行在以下环境 | |||||||||
| 应用 | bitdefender | gravityzone | * | Up to (excluding) 6.24.1-1 | |||||
| 运行在以下环境 | |||||||||
| 应用 | bitdefender | gravityzone | 6.24.1-1 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | anolis_os_8 | mysql | * | Up to (excluding) 8.0.30-1.0.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_33 | community-mysql-libs-debuginfo | * | Up to (excluding) 8.0.27-1.fc33 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_33_Modular | mysql | * | Up to (excluding) 8.0-3320211031142409.601d93de | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_34 | community-mysql-libs-debuginfo | * | Up to (excluding) 8.0.27-1.fc34 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_34_Modular | mysql | * | Up to (excluding) 8.0-3420211031142409.058368ca | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_35 | community-mysql-libs-debuginfo | * | Up to (excluding) 8.0.27-1.fc35 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_35_Modular | mysql | * | Up to (excluding) 8.0-3520211031142409.f27b74a8 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.2 | virtualbox-kmp-default | * | Up to (excluding) 6.1.28-lp152.2.38.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.3 | virtualbox-kmp-default | * | Up to (excluding) 6.1.28-lp153.2.12.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_8 | oraclelinux-release | * | Up to (excluding) 8.0.30-1.module+el8.6.0+20849+f637f661 | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-668 | 将资源暴露给错误范围 |
| NVD-CWE-Other |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论