Risques
- Exécution de code arbitraire à distance
- Falsification de requêtes côté serveur (SSRF)
Systèmes affectés
- GravityZone Console versions antérieures à 6.41.2-1
- GravityZone Update Server versions antérieures à 3.5.2.689
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Bitdefender. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une falsification de requêtes côté serveur (SSRF).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Bitdefender insecure-php-deserialization-issue-in-gravityzone-console-va-12634 du 04 avril 2025 https://www.bitdefender.com/support/security-advisories/insecure-php-deserialization-issue-in-gravityzone-console-va-12634/
- Bulletin de sécurité Bitdefender server-side-request-forgery-in-gravityzone-update-server-using-null-bytes-va-12646 du 04 avril 2025 https://www.bitdefender.com/support/security-advisories/server-side-request-forgery-in-gravityzone-update-server-using-null-bytes-va-12646/
- Bulletin de sécurité Bitdefender ssrf-in-gravityzone-console-via-dns-truncation-va-12634 du 04 avril 2025 https://www.bitdefender.com/support/security-advisories/ssrf-in-gravityzone-console-via-dns-truncation-va-12634/
- Référence CVE CVE-2025-2243 https://www.cve.org/CVERecord?id=CVE-2025-2243
- Référence CVE CVE-2025-2244 https://www.cve.org/CVERecord?id=CVE-2025-2244
- Référence CVE CVE-2025-2245 https://www.cve.org/CVERecord?id=CVE-2025-2245
