研究人员发现Kerio Control 存在安全漏洞

据Cybersecuritynews消息，研究人员发现了Kerio Control（一种广泛使用的统一威胁管理解决方案）中的关键HTTP响应拆分漏洞，这些漏洞被追踪为CVE-2024-52875（或KIS-2024-07），影响了从9.2.5到9.4.5的版本。这些漏洞可能允许攻击者将低严重性问题升级为一键远程命令执行（RCE）攻击，从而获得对防火墙系统的根访问权限。受影响的页面包括 nonauth addCertException.cs、 nonauth guestConfirm.cs和 nonauth expiration.cs，攻击者可以利用这些漏洞进行开放重定向攻击、HTTP响应拆分和反射型跨站脚本攻击（XSS）。