Уязвимые версии:  12.0.0 - 12.0.577

Тип ошибки: 

• CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
• CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

Вектор уязвимости:

• Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
• Уровень критичности уязвимости (CVSSv3.1): 9.6 (critical)
• Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
• Уровень критичности уязвимости (CVSSv4.0): 9.4 (critical)

Описание уязвимости: 
В PT NAD была выявлена проблема, затрагивающая версии 12.0.x до 12.0.577. 
Обнаруженная уязвимость может быть использована злоумышленником с сетевым доступом к PT NAD для удаленного выполнения команд ОС от имени суперпользователя. Возможность эксплуатации зависит от конфигурации. Эксплуатация уязвимости не требует авторизации.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 17.06.2024

Рекомендации: Обновление до версии 12.0.578 или выше

Прочая информация: Бюллетень по безопасности

Исследователь: Всеволод Дергунов (Positive Technologies)