通过 GravityZone 产品管理器 UpdateServer.KitsManager API 实现的权限提升 (VA-11466)

攻击者可以利用此路径遍历漏洞，通过构造恶意请求访问未经授权的文件或目录。这可能允许攻击者读取敏感数据，例如配置文件、密码或数据库内容。更严重的是，攻击者可能能够利用此漏洞执行任意代码，从而完全控制受影响的系统。攻击者可以利用此漏洞进行横向移动，访问网络中的其他系统。由于 GravityZone 控制中心是集中管理安全终端的安全核心，因此该漏洞的潜在影响范围非常广泛，可能影响整个组织的网络安全。

Organizations heavily reliant on Bitdefender GravityZone for centralized endpoint management are at significant risk. This includes businesses with on-premises GravityZone deployments, particularly those with older versions (6.36.1) that have not yet been upgraded. Shared hosting environments utilizing GravityZone for managing multiple client endpoints could also be vulnerable, potentially exposing multiple tenants to compromise.

• linux / server:

journalctl -u bitdefender -f | grep -i "path traversal"

• linux / server:

lsof -i :8080 | grep bitdefender

• generic web:

curl -I <gravityzone_url>/updateServer/path/to/sensitive/file

• generic web:

grep -r "path traversal" /opt/bitdefender/gravityzone/controlcenter/

1. 2024-04-09Disclosure

   disclosure

1. 已保留2024-03-06
2. 发布日期2024-04-09
3. 修改日期2024-08-01
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即升级到 Bitdefender GravityZone 控制中心 6.36.2 版本或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制对 UpdateServer 组件的访问，仅允许授权用户访问；实施严格的文件访问控制，确保用户只能访问其需要访问的文件和目录；监控 UpdateServer 组件的日志，查找可疑活动。如果升级导致问题，请回滚到之前的版本，并联系 Bitdefender 技术支持寻求帮助。建议使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求，并配置相应的规则以阻止路径遍历攻击。