An authenticated iControl REST user with low privileges can create or modify arbitrary files through an undisclosed iControl REST endpoint on the BIG-IQ system.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
An authenticated low-privilege user can create or modify arbitrary files on BIG-IQ systems through an undisclosed iControl REST endpoint, exploiting path traversal vulnerabilities. This allows unauthorized file manipulation that could compromise system integrity and security.
تتعلق هذه الثغرة بنقطة نهاية iControl REST غير معروفة في BIG-IQ تسمح لمستخدم مصرح له بامتيازات منخفضة بإساءة استخدام آلية اجتياز المسار. يمكن للمهاجم استخدام هذا لإنشاء أو تعديل ملفات حساسة على النظام، مما قد يؤدي إلى تصعيد الامتيازات أو تعطيل الخدمات.
يمكن لمستخدم منخفض الامتيازات التحقق من صحته إنشاء أو تعديل ملفات عشوائية على أنظمة BIG-IQ من خلال نقطة نهاية iControl REST غير معروفة. يسمح هذا بمعالجة الملفات غير المصرح بها التي قد تؤثر على سلامة النظام والأمان.
Update BIG-IQ to the latest patched version immediately. Implement strict access controls limiting iControl REST endpoint access to trusted administrators only. Monitor and audit all file creation/modification activities on BIG-IQ systems. Disable unnecessary iControl REST endpoints if not required for operations.
قم بتحديث BIG-IQ إلى أحدث إصدار مصحح فوراً. طبق ضوابط وصول صارمة تقيد الوصول إلى نقاط نهاية iControl REST للمسؤولين الموثوقين فقط. راقب وتدقيق جميع أنشطة إنشاء/تعديل الملفات على أنظمة BIG-IQ. عطل نقاط النهاية غير الضرورية إذا لم تكن مطلوبة للعمليات.