nvd
Barracuda
Уязвимости
18
Эксплуатируемые
1
Критический
8
Высокий
5
Топ продуктов
Rmm4Email Security Gateway 3002Email Security Gateway 300 Firmware2Email Security Gateway 4002Email Security Gateway 400 Firmware2Email Security Gateway 6002Email Security Gateway 600 Firmware2Email Security Gateway 8002Email Security Gateway 800 Firmware2Email Security Gateway 9002Email Security Gateway 900 Firmware2Load Balancer2Load Balancer Adc2Web Filter2Load Balancer Adc Firmware1Message Archiver1Message Archiver Firmware1Network Access Client1T100b1T100b Firmware1
Топ уязвимостей
CVE-2025-34394Barracuda Service Center, реализованный в решении RMM, в версиях до 2025.1.1, представляет собой услугу .NET Remoting, которая недостаточно защищена от дезериализации произвольных типов. Это может привести к удаленному исполнению кода.
CVE-2025-34393Barracuda Service Center, реализованный в растворе RMM, в версиях до 2025.1.1, некорректно проверяет имя управляемой злоумышленником службы WSDL, что приводит к небезопасному отражению. Это может привести к удаленному исполнению кода либо путем ссылки на произвольные методы, либо дезериаизации ненадежных типов.
CVE-2025-34392Barracuda Service Center, как реализовано в решении RMM, в версиях до 2025.1.1, не проверяет URL-адрес, определенный в управляемом злоумышленником WSDL, который позже загружается приложением. Это может привести к произвольному написанию файлов и удаленному исполнению кода через загрузку webshell.
CVE-2023-7102Использование сторонней библиотеки привело к уязвимости в Barracuda Networks Inc. Barracuda ESG Appliance, которая позволила осуществить Parameter Injection. Эта проблема затронула Barracuda ESG Appliance, от 5.1.3.001 до 9.2.1.001, пока Barracuda не удалила уязвимую логику.
CVE-2023-2868Уязвимость удаленного внедрения команд существует в Barracuda Email Security Gateway (только в форм-факторе устройства), затрагивающей версии 5.1.3.001-9.2.0.006. Уязвимость возникает из-за неполной очистки обработки .tar файла (ленточные архивы). Уязвимость связана с неполной проверкой входных данных .tar файла, предоставленного пользователем, поскольку это относится к именам файлов, содержащихся в архиве. Как следствие, удаленный злоумышленник может специально отформатировать эти имена файлов определенным образом, что приведет к удаленному выполнению системной команды через оператор qx Perl с привилегиями продукта Email Security Gateway. Эта проблема была исправлена в рамках патча BNSF-36456. Этот патч был автоматически применен ко всем устройствам заказчика.
CVE-2014-8428Уязвимость повышения привилегий в Barracuda Load Balancer 5.0.0.015 из-за использования неправильно защищенного ключа SSH.
CVE-2014-8426Жестко закодированные слабые учетные данные в Barracuda Load Balancer 5.0.0.015.
CVE-2014-2595Barracuda Web Application Firewall (WAF) 7.8.1.013 позволяет удаленным злоумышленникам обходить аутентификацию, используя постоянный токен аутентификации, полученный из строки запроса.
CVE-2017-6320В линейке продуктов Barracuda Load Balancer (подтверждено на v5.4.0.004 (2015-11-26) и v6.0.1.006 (2016-08-19); исправлено в 6.1.0.003 (2017-01-17)) существует уязвимость удаленной инъекции команд, при которой аутентифицированный пользователь может выполнять произвольные команды оболочки и получать права root. Уязвимость связана с необработанными данными, обрабатываемыми в системном вызове при выдаче команды delete_assessment.
CVE-2025-34395Barracuda Service Center, как реализовано в решении RMM, в версиях до 2025.1.1, выставляет услугу удалённого .NET, в которой неаутентифицированный злоумышленник может вызвать метод, уязвимый для просмотра произвольных файлов. Эта уязвимость может быть переработана до удаленного выполнения кода путем извлечения клавиш машины .NET.
CVE-2021-42711Barracuda Network Access Client до версии 5.2.2 создает временный файл в каталоге с небезопасными разрешениями. Этот файл выполняется с привилегиями SYSTEM, когда непривилегированный пользователь выполняет операцию восстановления.
CVE-2019-6724Компонент barracudavpn клиента Barracuda VPN до версии 5.0.2.7 для Linux, macOS и OpenBSD работает как процесс с повышенными привилегиями и может позволить непривилегированному локальному злоумышленнику загрузить вредоносную библиотеку, что приведет к выполнению произвольного кода от имени root.
CVE-2023-26213На устройствах Barracuda CloudGen WAN Private Edge Gateway до версии 8 webui-sdwan-1089-8.3.1-174141891 существует уязвимость внедрения команд ОС в /ajax/update_certificate – специально созданный HTTP-запрос позволяет аутентифицированному злоумышленнику выполнять произвольные команды. Например, поле имени может содержать :password, а поле пароля может содержать shell-метасимволы.
CVE-2019-5648Аутентифицированный административный доступ к Barracuda Load Balancer ADC, работающему под управлением неисправленной микропрограммы <= v6.4, позволяет редактировать конфигурацию службы LDAP балансировщика и изменять сервер LDAP на систему, контролируемую злоумышленником, без необходимости повторного ввода учетных данных LDAP. Эти шаги могут быть использованы любым аутентифицированным административным пользователем для раскрытия учетных данных LDAP, настроенных в соединителе LDAP, по сети.
CVE-2025-8319Интерфейс входа в BMA позволяет вписывать произвольный JavaScript или HTML прямо в модель объекта документа страницы через параметр error= URL
CVE-2018-20369Barracuda Message Archiver 2018 имеет XSS в значении обработки исключений error_msg для параметра ldap_user в модуле cgi-mod/ldap_load_entry.cgi. Точкой внедрения проблемы является модуль Add_Update.
CVE-2015-0962Barracuda Web Filter 7.x и 8.x до версии 8.1.0.005, когда включена SSL Inspection, использует один и тот же корневой сертификат центра сертификации в различных установках клиентов, что облегчает удаленным злоумышленникам проведение атак типа "человек посередине" против SSL-сессий, используя доверительные отношения сертификата.
CVE-2015-0961Barracuda Web Filter до версии 8.1.0.005, когда включена SSL Inspection, не проверяет X.509 сертификаты с вышестоящих SSL-серверов, что позволяет злоумышленникам типа "человек посередине" подделывать серверы и получать конфиденциальную информацию через специально созданный сертификат.