Topic: Sicherheitslücke im Anmeldeprozess des Webinterfaces
Topic: Security vulnerability in the login process of the web interface
Dieser Artikel bezieht sich auf eine Resellerpreview
-
notempty
Status: Fixed
Veröffentlicht Published : |
06.01.2023 2023-01-06
|
Produkt Product : |
UTM UTM
|
Komponente Component : |
Firewall Firewall
|
CVE Eintrag CVE Record : |
CVE-2023-22620 |
CVSS Score v3.1 | 7.5 7.5
|
Betroffene Version Affected Version : |
|
Status Status : |
Gelöst (Update verfügbar) Solved (update available)
|
Gelöst in Version Fixed in : |
12.2.5.1 12.2.5.1 06.01.2023 2023-01-06
|
Letzte Aktualisierung Last Update |
12.04.2023 2023-04-12
|
Beschreibung
Description
Der Endpunkt der Firewall unter /spcgi.cgi ermöglicht die Offenlegung von sessionid-Informationen über einen ungültigen Authentifizierungsversuch. Dies kann anschließend genutzt werden, um die Authentifizierung des Geräts zu umgehen und Zugriff auf die administrative Schnittstelle zu erhalten.
The firewall's endpoint at /spcgi.cgi allows sessionid information disclosure via an invalid authentication attempt. This can afterwards be used to bypass the device's authentication and get access to the administrative interface.
Update:
12.04.2023
12.04.2023
12.04.2023
12.04.2023
Veröffentlichung der Beschreibung
Publication of the description
Lösung
Solution
Benutzern wird empfohlen, auf die korrigierte Version 12.2.5.1 zu aktualisieren, um diese Schwachstelle zu beheben.
Users are advised to update to the corrected version 12.2.5.1 to fix this vulnerability.