Bitdefenderが提供するセキュリティ管理ツール「GravityZone Console」に深刻な脆弱性が明らかとなった。
入力検証の不備により、認証なしでリモートから任意のコードを実行されるおそれがある脆弱性「CVE-2025-2244」が明らかとなった。
信頼できないデータをデシリアライズすることに起因。細工したデータを送信することで、PHPオブジェクトインジェクションを行い、任意のファイルを書き込み、コマンドの実行が可能となる。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.5」と評価されている。
同社は、「同6.41.2-1」にて脆弱性を修正。同バージョンへ自動更新などを行うことで問題を解決できるとしている。
(Security NEXT – 2025/04/08 )
ツイート
関連リンク
Bitdefender:Insecure PHP deserialization issue in GravityZone Console (VA-12634)
BitDefender
PR
関連記事
管理者権限奪われる「CrushFTP」脆弱性の悪用に注意喚起 – 米当局
DB管理ツール「pgAdmin」に深刻な脆弱性 – アップデートで修正
米当局、Ivanti製品の脆弱性に注意喚起 – 侵害痕跡なくとも初期化検討を
あらたなIvanti脆弱性 – パッチ分析で特定し、3月中旬より攻撃展開か
「MS Edge」にアップデート – 独自含む複数脆弱性を解消
Apple、「macOS Sequoia 15.4」など公開 – 多数脆弱性を解消
「CrushFTP」脆弱性、すでに被害も – 開示過程でトラブル
「CrushFTP」に認証回避の脆弱性 – 早急にアップデートを
「Ivanti Connect Secure」などにあらたなRCE脆弱性 – すでに悪用も
WP向けECサイト構築プラグイン「Welcart e-Commerce」に脆弱性