Cleo Multiple Products Unauthenticated File Upload Vulnerability — Cleo Harmony, VLTrader, and LexiCom, which are managed file transfer products, contain an unrestricted file upload vulnerability that could allow an unauthenticated user to import and execute arbitrary bash or PowerShell commands on the host system by leveraging the default settings of the Autorun directory.
Cleo managed file transfer products (Harmony, VLTrader, LexiCom) contain a critical unauthenticated file upload vulnerability allowing arbitrary command execution. Attackers can exploit default Autorun settings to execute bash or PowerShell commands without authentication.
تؤثر هذه الثغرة على منتجات Cleo Harmony و VLTrader و LexiCom وتسمح لمستخدم غير مصرح به برفع ملفات تحتوي على أوامر bash أو PowerShell. يتم تنفيذ هذه الأوامر تلقائياً عبر إعدادات Autorun الافتراضية مما يؤدي إلى السيطرة الكاملة على النظام.
منتجات Cleo لنقل الملفات المدارة تحتوي على ثغرة حرجة في رفع الملفات غير المصرح بها تسمح بتنفيذ أوامر عشوائية. يمكن للمهاجمين استغلال إعدادات Autorun الافتراضية لتنفيذ أوامر bash أو PowerShell بدون مصادقة.
Immediately update all Cleo products (Harmony, VLTrader, LexiCom) to patched versions. Disable or restrict access to Autorun directories. Implement network segmentation and access controls. Monitor file upload activities and disable default Autorun functionality. Apply principle of least privilege to file transfer services.
قم بتحديث جميع منتجات Cleo فوراً إلى الإصدارات المصححة. عطّل أو قيّد الوصول إلى مجلدات Autorun. طبّق تقسيم الشبكة والتحكم في الوصول. راقب أنشطة رفع الملفات وعطّل وظيفة Autorun الافتراضية. طبّق مبدأ الامتيازات الأقل على خدمات نقل الملفات.