Multiples vulnérabilités dans les produits Bitdefender (10 avril 2025)

Risques

Exécution de code arbitraire à distance
Falsification de requêtes côté serveur (SSRF)

Systèmes affectés

GravityZone Console versions antérieures à 6.41.2-1
GravityZone Update Server versions antérieures à 3.5.2.689

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Bitdefender. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une falsification de requêtes côté serveur (SSRF).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Bitdefender insecure-php-deserialization-issue-in-gravityzone-console-va-12634 du 04 avril 2025

https://www.bitdefender.com/support/security-advisories/insecure-php-deserialization-issue-in-gravityzone-console-va-12634/

Bulletin de sécurité Bitdefender server-side-request-forgery-in-gravityzone-update-server-using-null-bytes-va-12646 du 04 avril 2025

https://www.bitdefender.com/support/security-advisories/server-side-request-forgery-in-gravityzone-update-server-using-null-bytes-va-12646/

Bulletin de sécurité Bitdefender ssrf-in-gravityzone-console-via-dns-truncation-va-12634 du 04 avril 2025

https://www.bitdefender.com/support/security-advisories/ssrf-in-gravityzone-console-via-dns-truncation-va-12634/

Référence CVE CVE-2025-2243

https://www.cve.org/CVERecord?id=CVE-2025-2243

Référence CVE CVE-2025-2244

https://www.cve.org/CVERecord?id=CVE-2025-2244

Référence CVE CVE-2025-2245

https://www.cve.org/CVERecord?id=CVE-2025-2245

Avis de sécurité