[TLP:CLEAR] Pexip Infinity opravuje 2 zraniteľnosti
Pexip Infinity verziou 37.0 opravuje 2 zraniteľnosti [1][2]. Zraniteľnosť CVE-2024-12084 sa pôvodne týka softvéru rsync, ktorý Pexip Infinity využíva, preto je v obmedzenej podobe touto zraniteľnosťou postihnutý tiež.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok zasielaním špeciálne vytvorených signalizačných správ [1].
Zraniteľnosť sa nachádza v produkte Pexip Infinity vo verziách >=29.0 AND <37.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-30080 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 4. 2025.
Autentizovanému lokálnemu útočníkovi je umožnené zápisom za hranicu pamäte potenciálne spôsobiť DoS útok, neoprávnený prepis dát alebo špúšťanie kódu [2].
Zraniteľnosť sa nachádza v produkte Pexip Infinity vo verziách >=36.0 AND <37.0.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-12084 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 15. 1. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 3. 4. 2025.
