Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Check Point SafeOffice Appliances 7.x ;
  • Check Point VPN-1 UTM Edge ;
  • Check Point ZoneAlarm Z100G 7.x.

Les versions du logiciel antérieures à 7.0.45 seraient affectées.

Description

Une vulnérabilité de type injection de code indirecte serait possible : une personne malveillante pourrait exécuter du code arbitraire sur le système par le biais d'une page Web spécialement construite, et à la condition que l'utilisateur légitime soit connecté à la fois sur cette page et sur l'interface du système.

Une seconde vulnérabilité permettrait à tout utilisateur connecté au système de modifier le mot de passe de l'administrateur, sans connaître celui existant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation