阿里云漏洞库

漏洞描述

Bitdefender Endpoint Security Tool是罗马尼亚比特梵德（Bitdefender）公司的一款终端安全管理工具。

Bitdefender Endpoint Security Tools、Bitdefender Unified Endpoint和Bitdefender GravityZone的patchesUpdate API存在访问控制错误漏洞。攻击者可利用该漏洞操纵用于提取补丁的远程地址。

受影响系统：

BitDefender Endpoint Security Tool < 7.1.2.33

BitDefender Endpoint Security Tool < 6.6.27.390

BitDefender GravityZone < 6.24.1-1

BitDefender Unified Endpoint < 6.2.21.160

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://www.bitdefender.com/support/security-advisories/insufficient-validation-regular-expression-eppupdateservice-config-file-va-9825

参考链接
https://www.bitdefender.com/support/security-advisories/improper-access-contr...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	bitdefender	endpoint_security_tools	*		Up to (excluding) 6.6.27.390
	运行在以下环境
	应用	bitdefender	endpoint_security_tools	*	From (including) 7.0.0.00	Up to (excluding) 7.1.2.33
	运行在以下环境
	应用	bitdefender	gravityzone	*		Up to (excluding) 6.24.1-1
	运行在以下环境
	应用	bitdefender	gravityzone	6.24.1-1	-
	运行在以下环境
	系统	fedora_33	community-mysql	*		Up to (excluding) 8.0.27-1.fc33
	运行在以下环境
	系统	fedora_33_Modular	mysql	*		Up to (excluding) 8.0-3320211031142409.601d93de
	运行在以下环境
	系统	fedora_34	community-mysql	*		Up to (excluding) 8.0.27-1.fc34
	运行在以下环境
	系统	fedora_34_Modular	mysql	*		Up to (excluding) 8.0-3420211031142409.058368ca
	运行在以下环境
	系统	fedora_35	community-mysql	*		Up to (excluding) 8.0.27-1.fc35
	运行在以下环境
	系统	fedora_35_Modular	mysql	*		Up to (excluding) 8.0-3520211031142409.f27b74a8
	运行在以下环境
	系统	opensuse_Leap_15.2	virtualbox	*		Up to (excluding) 6.1.28-lp152.2.38.1
	运行在以下环境
	系统	opensuse_Leap_15.3	virtualbox	*		Up to (excluding) 6.1.28-lp153.2.12.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-668	将资源暴露给错误范围
NVD-CWE-Other

中危 Bitdefender Endpoint Security Tools访问控制错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况