На этой неделе инженеры компании Citrix выпустили ряд патчей для Citrix Endpoint Management, а точнее системы управления корпоративными мобильными устройствами XenMobile Server. Эти проблемы дают злоумышленнику возможность получить административные привилегии в уязвимых системах.

Серьезность обнаруженных проблем, которые получили идентификаторы CVE CVE-2020-8208, CVE-2020-8209, CVE-2020-8210, CVE-2020-8211 и CVE-2020-8212, различается в зависимости от используемой версии XenMobile. Так, уязвимости будут критическими для XenMobile версий от 10.12 до RP2, от 10.11 до RP4, от 10.10 до RP6 и всех версий до 10.9 RP5. В свою очередь, для XenMobile версий от 10.12 до RP3, от 10.11 до RP6, от 10.10 до RP6 и до 10.9 RP5 угроза будет низкой или средней.

Специалисты компании пишут, что все версии 10.9.x должны быть немедленно обновлены (желательно до новейшей 10.12 RP3), та как некоторые проблемы можно использовать удаленно и без аутентификации. На данный момент более 70% потенциально уязвимых клиентов, которые были предварительно уведомлены о проблемах, уже установили доступные исправления.

Хотя эксперты Citrix не раскрывают деталей найденных проблем, уязвимость CVE-2020-8209 обнаружил специалист Positive Technologies Андрей Медов. Он рассказал, что она относится к классу Path Traversal (выход за пределы каталога) и связана с недостаточной проверкой входных данных.

Теги: CSS