Barracuda - CVE-2023-2868
Date de publication :
Un défaut de contrôle des données saisies par l’utilisateur dans Barracuda Email Security Gateway permet à un attaquant non authentifié, en envoyant une archive .TAR spécifiquement forgée, d’exécuter du code arbitraire avec les privilèges de la passerelle.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-20: Improper Input Validation
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Barracuda Email Security Gateway versions comprises entre 5.1.3.001 et 9.2.0.006 (incluses)
Solutions ou recommandations
Mettre à jour Barracuda Email Security Gateway afin d’appliquer le correctif BNSF-36456.
L’éditeur recommande également de renouveler les mots de passe des services connectés à Barracuda Email Security Gateway.
Des informations complémentaires sont disponibles dans le bulletin de Barracuda.