nvd
Gallagher
Уязвимости
44
Эксплуатируемые
0
Критический
3
Высокий
16
Топ продуктов
Топ уязвимостей
CVE-2023-24584Controller 6000 уязвим к переполнению буфера через функцию загрузки веб-интерфейса диагностики контроллера.
Эта проблема затрагивает Controller 6000: до vCR8.80.230201a, до vCR8.70.230201a, до vCR8.60.230201b, до vCR8.50.230201a, все версии vCR8.40 и более ранние.
CVE-2020-16098Можно перечислить учетные данные карты доступа через неаутентифицированное сетевое соединение с сервером в версиях Command Centre v8.20 до v8.20.1166(MR3), версиях 8.10 до v8.10.1211(MR5), версиях 8.00 до v8.00.1228(MR6), всех версиях 7.90 и более ранних. Затем эти учетные данные можно использовать для кодирования карт с низким уровнем безопасности для использования системой, где поддерживаются небезопасные карточные технологии.
CVE-2019-15294Проблема обнаружена в Gallagher Command Centre 8.10 до 8.10.1092(MR2). После обновления, если используется пользовательская учетная запись службы и установлена служба управления посетителями, имя пользователя и пароль Windows для этой службы регистрируются в виде открытого текста в файле Command_centre.log.
CVE-2023-24590Проблема с форматом строки в дополнительном диагностическом веб-интерфейсе Controller 6000 может использоваться для записи/чтения из памяти, а в некоторых случаях приводит к сбою Controller 6000, что приводит к отказу в обслуживании.
Эта проблема затрагивает: Gallagher Controller 6000 8.60 до vCR8.60.231116a (распространяется в 8.60.2550 (MR7)), все версии 8.50 и более ранние.
CVE-2021-23140Уязвимость Improper Authorization в Gallagher Command Centre Server позволяет неавторизованному оператору Command Centre изменять макросы командной строки. Эта проблема затрагивает: Gallagher Command Centre 8.40 версий до 8.40.1888 (MR3); 8.30 версий до 8.30.1359 (MR3); 8.20 версий до 8.20.1259 (MR5); версию 8.10 и предыдущие версии.
CVE-2020-16103Несоответствие типов в Gallagher Command Centre Server позволяет удаленному злоумышленнику вызвать сбой сервера или, возможно, удаленное выполнение кода. Эта проблема затрагивает: Gallagher Command Centre 8.30 версий до 8.30.1236(MR1); 8.20 версий до 8.20.1166(MR3); 8.10 версий до 8.10.1211(MR5); версия 8.00 и более ранние версии.
CVE-2020-16102Уязвимость Improper Authentication в Gallagher Command Centre Server позволяет неаутентифицированному удаленному злоумышленнику создавать элементы с недействительной конфигурацией, что может привести к сбою сервера и невозможности перезапуска. Эта проблема затрагивает: Gallagher Command Centre 8.30 версий до 8.30.1299(MR2); 8.20 версий до 8.20.1218(MR4); 8.10 версий до 8.10.1253(MR6); 8.00 версий до 8.00.1252(MR7); версия 7.90 и более ранние версии.
CVE-2023-23570Обход принудительного применения безопасности на стороне сервера на стороне клиента для сервера Command Centre может привести к недействительной конфигурации с неопределенным поведением.
Эта проблема затрагивает: Gallagher Command Centre 8.90 до vEL8.90.1620 (MR2), все версии 8.80 и более ранние.
CVE-2021-23205Неправильное кодирование или экранирование в Gallagher Command Centre Server позволяет оператору Command Centre изменять конфигурацию контроллеров и других аппаратных элементов сверх их привилегий. Эта проблема затрагивает: Gallagher Command Centre 8.40 версий до 8.40.1888 (MR3); 8.30 версий до 8.30.1359 (MR3); 8.20 версий до 8.20.1259 (MR5); версия 8.10 и более ранние версии.
CVE-2021-23162Неправильная проверка цепочки облачных сертификатов в Mobile Connect позволяет злоумышленнику типа "человек посередине" выдавать себя за законный сервер командного центра. Эта проблема затрагивает: Gallagher Command Centre Mobile Connect для Android 15 версий до 15.04.040; версия 14 и более ранние версии.
CVE-2021-23197Уязвимость, связанная с путем службы без кавычек, в службе контроллера Gallagher позволяет пользователю без привилегий выполнять произвольный код в качестве учетной записи, под которой работает служба контроллера. Эта проблема затрагивает: Gallagher Command Centre 8.50 версий до 8.50.2048 (MR3);.
CVE-2020-16096В Gallagher Command Centre версий 8.10 до 8.10.1134(MR4), 8.00 до 8.00.1161(MR5), 7.90 до 7.90.991(MR5), 7.80 до 7.80.960(MR2), 7.70 и более ранних версий любая учетная запись оператора имеет доступ ко всем данным, которые будут реплицированы, если система будет (или есть) подключена к многосерверной среде. Это может включать учетные данные в виде обычного текста для систем DVR и данные карт, используемые для физического доступа/сигнализации/периметра.
CVE-2023-22363Переполнение буфера на основе стека в Command Centre Server позволяет злоумышленнику вызвать отказ в обслуживании, назначая держателей карт группе доступа.
Эта проблема затрагивает Command Centre: vEL8.80 до vEL8.80.1192 (MR2).
CVE-2022-26078Gallagher Controller 6000 уязвим для атак типа "отказ в обслуживании" через конфликтующие ARP-пакеты с повторяющимся IP-адресом. Эта проблема затрагивает: Gallagher Gallagher Controller 6000 vCR8.60 версии до 220303a; vCR8.50 версии до 220303a; vCR8.40 версии до 220303a; vCR8.30 версии до 220303a.
CVE-2021-23146Уязвимость Incomplete Comparison with Missing Factors в Gallagher Controller позволяет злоумышленнику обойти проверку PIV. Эта проблема затрагивает: Gallagher Command Centre 8.40 версий до 8.40.1888 (MR3); 8.30 версий до 8.30.1359 (MR3); 8.20 версий до 8.20.1259 (MR5); 8.10 версий до 8.10.1284 (MR7); версию 8.00 и предыдущие версии.
CVE-2020-16101Неаутентифицированное удаленное соединение DCOM websocket может привести к сбою службы Command Centre из-за доступа к буферу за пределами допустимого диапазона. Уязвимые версии: v8.20 до v8.20.1166(MR3), v8.10 до v8.10.1211(MR5), v8.00 до v8.00.1228(MR6), все версии 7.90 и более ранние.
CVE-2020-16100Неаутентифицированное удаленное соединение DCOM websocket может привести к сбою потока DCOM websocket службы Command Centre из-за неправильного завершения закрытых соединений websocket, что не позволяет ему принимать будущие соединения DCOM websocket (Configuration Client). Уязвимые версии: v8.20 до v8.20.1166(MR3), v8.10 до v8.10.1211(MR5), v8.00 до v8.00.1228(MR6), все версии 7.90 и более ранние.
CVE-2020-16104Уязвимость SQL Injection в Enterprise Data Interface Gallagher Command Centre позволяет удаленному злоумышленнику с привилегией "Edit Enterprise Data Interfaces" выполнять произвольные SQL-запросы к сторонней базе данных, если EDI настроен для импорта данных из этой базы данных. Эта проблема затрагивает: Gallagher Command Centre 8.30 версий до 8.30.1236(MR1); 8.20 версий до 8.20.1166(MR3); 8.10 версий до 8.10.1211(MR5); 8.00 версий до 8.00.1228(MR6); версия 7.90 и более ранние версии.
CVE-2023-46686Принятие ненадежных входных данных в решении безопасности может быть использовано привилегированным пользователем для настройки службы диагностики Gallagher Command Centre на использование менее безопасных протоколов связи.
Эта проблема затрагивает: Gallagher Diagnostics Service до версии v1.3.0 (распространяется в 9.00.1507(MR1)).
CVE-2023-6355Неправильный выбор значений предохранителей на платформе Controller 7000 позволяет злоумышленнику обойти некоторые механизмы защиты для включения локальной отладки.
Эта проблема затрагивает: Gallagher Controller 7000 9.00 до vCR9.00.231204b (распространяется в 9.00.1507 (MR1)), 8.90 до vCR8.90.231204a (распространяется в 8.90.1620 (MR2)), 8.80 до vCR8.80.231204a (распространяется в 8.80.1369 (MR3)), 8.70 до vCR8.70.231204a (распространяется в 8.70.2375 (MR5)).
CVE-2021-23167Уязвимость неправильной проверки сертификатов в SMTP-клиенте позволяет злоумышленнику типа "человек посередине" извлекать конфиденциальную информацию с сервера командного центра. Эта проблема затрагивает: Gallagher Command Centre 8.50 версий до 8.50.2048 (MR3); 8.40 версий до 8.40.2063 (MR4); 8.30 версий до 8.30.1454 (MR4); версия 8.20 и более ранние версии.
CVE-2021-23155Неправильная проверка цепочки облачных сертификатов в Mobile Client позволяет атаке "человек посередине" выдавать себя за законный Command Centre Server. Эта проблема затрагивает: Gallagher Command Centre Mobile Client для Android 8.60 версий до 8.60.065; версию 8.50 и предыдущие версии.
CVE-2024-21815Недостаточно защищенные учетные данные (CWE-522) для интеграции DVR сторонних производителей с Command Centre Server доступны для аутентифицированных, но непривилегированных пользователей.
Эта проблема затрагивает: Gallagher Command Centre 9.00 до vEL9.00.1774 (MR2), 8.90 до vEL8.90.1751 (MR3), 8.80 до vEL8.80.1526 (MR4), 8.70 до vEL8.70.2526 (MR6), все версии 8.60 и более ранние.
CVE-2023-22428Неправильная проверка привилегий в Command Centre Server позволяет аутентифицированным операторам изменять происхождение Division. Эта проблема затрагивает Command Centre: vEL8.80 до vEL8.80.1192 (MR2), vEL8.70 до vEL8.70.2185 (MR4), vEL8.60 до vEL8.60.2347 (MR6), vEL8.50 до vEL8.50.2831 (MR8), vEL8.40 и более ранние.
CVE-2021-23204Уязвимость, связанная с раскрытием конфиденциальной информации неавторизованному субъекту, в Gallagher Command Centre Server позволяет предоставлять ключевой материал OSDP операторам Command Centre. Эта проблема затрагивает: Gallagher Command Centre 8.40 версий до 8.40.1888 (MR3); 8.30 версий до 8.30.1359 (MR3).