Email Security
Уязвимости
22
Эксплуатируемые
5
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
5
Высокий
6
Средний
8
Низкий
3
Затронутые диапазоны версий
< 10.0.11< 10.0.12< 10.0.13< 10.0.35.8405< 10.0.9.6103< 10.0.9.6173≤ 10.0.12≤ 10.0.19.7431
Также сопоставлено как (исходные строки): web_application_firewall,network_security_manager,email security,cloud_global_management_system,global_management_system,secure_mobile_access,capture_client,sonicos,email_security,sonicosv
Топ уязвимостей
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-02345Уязвимость программного обеспечения для обеспечения безопасности электронной почты SonicWall Email Security и SonicWall Hosted Email Security связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
CVE-2021-44228В Apache Log4j2 с 2.0-beta9 по 2.15.0 (исключая выпуски безопасности 2.12.2, 2.12.3 и 2.3.1) функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленником LDAP и других связанных с JNDI конечных точек. Злоумышленник, который может контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. В log4j 2.15.0 это поведение отключено по умолчанию. В версии 2.16.0 (вместе с 2.12.2, 2.12.3 и 2.3.1) эта функция была полностью удалена. Обратите внимание, что эта уязвимость относится к log4j-core и не затрагивает log4net, log4cxx или другие проекты Apache Logging Services.
CVE-2021-20021Уязвимость в SonicWall Email Security версии 10.0.9.x позволяет злоумышленнику создать учетную запись администратора, отправив специально созданный HTTP-запрос на удаленный хост.
BDU:2021-06256Уязвимость программного обеспечения для обеспечения безопасности электронной почты SonicWall Email Security и SonicWall Hosted Email Security связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать учетную запись с правами администратора с помощью специально созданного HTTP-запроса
CVE-2021-45046Было обнаружено, что исправление, направленное на решение проблемы CVE-2021-44228 в Apache Log4j 2.15.0, было неполным в некоторых нестандартных конфигурациях. Это может позволить злоумышленникам с контролем над данными ввода Thread Context Map (MDC), когда конфигурация логирования использует нестандартный Pattern Layout с либо Context Lookup (например, $${ctx:loginId}), либо шаблоном Thread Context Map (%X, %mdc или %MDC), создать вредоносные входные данные, используя шаблон JNDI Lookup, что приводит к утечке информации и удаленному выполнению кода в некоторых средах и локальному выполнению кода во всех средах. Log4j 2.16.0 (Java 8) и 2.12.2 (Java 7) исправляют эту проблему, удаляя поддержку шаблонов поиска сообщений и отключая функциональность JNDI по умолчанию.
CVE-2021-3450Флаг X509_V_FLAG_X509_STRICT включает дополнительные проверки безопасности сертификатов, представленных в цепочке сертификатов. По умолчанию он не установлен. Начиная с версии OpenSSL 1.1.1h, в качестве дополнительной строгой проверки была добавлена проверка, запрещающая сертификаты в цепочке, которые имеют явно закодированные параметры эллиптической кривой. Ошибка в реализации этой проверки означала, что результат предыдущей проверки для подтверждения того, что сертификаты в цепочке являются действительными сертификатами ЦС, был перезаписан. Это эффективно обходит проверку того, что сертификаты, не являющиеся ЦС, не должны иметь возможности выдавать другие сертификаты. Если настроена «цель», то есть последующая возможность проверки того, что сертификат является действительным ЦС. Все именованные значения «цели», реализованные в libcrypto, выполняют эту проверку. Поэтому, если установлена цель, цепочка сертификатов все равно будет отклонена, даже если использовался строгий флаг. Цель устанавливается по умолчанию в подпрограммах проверки сертификатов клиента и сервера libssl, но она может быть переопределена или удалена приложением. Чтобы быть затронутым, приложение должно явно установить флаг проверки X509_V_FLAG_X509_STRICT и либо не устанавливать цель для проверки сертификата, либо, в случае клиентских или серверных TLS-приложений, переопределить цель по умолчанию. Эта проблема затрагивает OpenSSL версий 1.1.1h и новее. Пользователям этих версий следует обновиться до OpenSSL 1.1.1k. OpenSSL 1.0.2 не подвержен этой проблеме. Исправлено в OpenSSL 1.1.1k (затронуто 1.1.1h-1.1.1j).
CVE-2021-20022SonicWall Email Security версии 10.0.9.x содержит уязвимость, которая позволяет злоумышленнику, прошедшему аутентификацию, загружать произвольный файл на удаленный хост.
BDU:2025-14679Уязвимость программного обеспечения для безопасности электронной почты SonicWall Email Security связана с загрузкой кода без проверки его целостности. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ на изменение системных файлов и выполнить произвольный код
BDU:2021-06040Уязвимость программного обеспечения для обеспечения безопасности электронной почты SonicWall Email Security и SonicWall Hosted Email Security связана с недостаточной проверкой файла во время загрузки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем загрузки вредоносного ZIP-архива
BDU:2021-02344Уязвимость программного обеспечения для обеспечения безопасности электронной почты SonicWall Email Security и SonicWall Hosted Email Security связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
CVE-2021-45105Версии Apache Log4j2 с 2.0-alpha1 по 2.16.0 (исключая 2.12.3 и 2.3.1) не защищали от неконтролируемой рекурсии из самоссылающихся просмотров. Это позволяет злоумышленнику, контролирующему данные Thread Context Map, вызвать отказ в обслуживании при интерпретации специально созданной строки. Эта проблема была исправлена в Log4j 2.17.0, 2.12.3 и 2.3.1.
CVE-2018-3639Системы с микропроцессорами, использующими спекулятивное выполнение и спекулятивное выполнение операций чтения памяти до того, как станут известны адреса всех предыдущих операций записи в память, могут позволить неавторизованное раскрытие информации злоумышленнику с локальным доступом пользователя через анализ по сторонним каналам, также известное как Speculative Store Bypass (SSB), вариант 4.
CVE-2023-0655SonicWall Email Security содержит уязвимость, которая может позволить удаленному неаутентифицированному злоумышленнику получить доступ к странице ошибки, которая содержит конфиденциальную информацию об адресах электронной почты пользователей.
BDU:2025-14678Уязвимость программного обеспечения для безопасности электронной почты SonicWall Email Security связана с ошибками механизма обработки относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2021-20023SonicWall Email Security версии 10.0.9.x содержит уязвимость, которая позволяет злоумышленнику, прошедшему аутентификацию, читать произвольный файл на удаленном хосте.
BDU:2021-06227Уязвимость программного обеспечения для обеспечения безопасности электронной почты SonicWall Email Security и SonicWall Hosted Email Security связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать произвольные файлы
BDU:2021-02307Уязвимость програмного обеспечения для безопасности электронной почты SonicWall Email Security связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2026-3468Хранимая уязвимость Cross-Site Scripting (XSS) была идентифицирована в приложении SonicWall Email Security из-за неправильной нейтрализации пользовательского ввода во время генерации веб-страницы, что позволяет удаленному аутентифицированному злоумышленнику в качестве пользователя администратора потенциально выполнять произвольный код JavaScript.
CVE-2026-3470Уязвимость существует в приложении SonicWall Email Security из-за неправильной дезинфекции ввода, которая может привести к повреждению данных, что позволяет удаленному аутентифицированному злоумышленнику в качестве пользователя admin может использовать эту проблему, предоставляя созданный ввод, который разрушает базу данных приложений.
BDU:2026-06576Уязвимость программного обеспечения для обеспечения безопасности электронной почты SonicWall Email Security связана с некорректной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2026-3469Уязвимость отказа в обслуживании (DoS) существует из-за неправильной валидации входных данных в приложении безопасности электронной почты SonicWall, что позволяет удаленному аутентифицированному злоумышленнику в качестве пользователя администратора привести к тому, что приложение станет невосприимчивым.