Bitdefender GravityZone Console Hit by Critical PHP Deserialization Vulnerability
2024/04/07 SecurityOnline — Bitdefender GravityZone Console に発見された脆弱性の影響を受けるシステムに、深刻なリスクがもたらされる可能性があるという。この脆弱性 CVE-2025-2244 (CVSSv4:9.5) は、PHP における安全が確保されないデシリアライゼーションに起因する。
この脆弱性は、Emails.php の sendMailFromRemoteSource メソッドに存在する。Bitdefender GravityZone Console は、ユーザーからの入力に対する検証において、PHP unserialize() を安全に使用していない。この検証の欠如により、攻撃者はシリアライザされた悪意のペイロードを作成できる。つまり、この脆弱性を悪用することで、PHP オブジェクト・インジェクション/ファイルへの書込/ホスト・システム上での任意のコマンド実行などにつながる可能性が生じる。
この種の脆弱性は、攻撃者によるサーバの完全な制御の足掛かりとなり得るため、きわめて危険なものである。
この脆弱性が影響を及ぼす範囲は、Bitdefender GravityZone Console である。 すでに Bitdefenderは、自動アップデートにより、この問題に対応している。このアップデート版 6.41.2-1 には、脆弱性 CVE-2025-2244 に対する修正が取り込まれている。
Bitdefender のアドバイザリでは、この脆弱性を報告した Nicolas Verdier (@n1nj4sec) への謝意が示されている。
Bitdefender GravityZone Console ユーザーに対して強く推奨されるのは、システムをバージョン 6.41.2-1 へとアップデートし、この脆弱性によるリスクを軽減することだ。
エンタープライズ向けセキュリティ・ソリューションである Bitdefender GravityZone の管理コンソールに、CVSSv4 9.5 の深刻な脆弱性が発見されました。本来は攻撃を防ぐためのセキュリティ製品が侵入口になり得るという事実には、恐ろしさを感じずにはいられません。ご利用のチームは、アップデートを、ご検討ください。よろしければ、Bitdefender で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.