CVE-2025-4478
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
Wykryto podatność w FreeRDP używanym przez funkcję zdalnej instalacji Anacondy, gdzie spreparowany pakiet RDP może wywołać błąd segmentacji. Powoduje to awarię usługi i jej trwałe unieruchomienie, prowadząc do odmowy usługi. Problem występuje przed uruchomieniem systemu i prawdopodobnie wynika z dereferencji wskaźnika NULL.
Ocena ryzyka
Atakujący może zdalnie spowodować awarię usługi instalacyjnej, uniemożliwiając dokończenie instalacji systemu. Wymagany jest restart fizyczny lub zdalny, co prowadzi do przestoju i opóźnień we wdrażaniu.
Rekomendacja
Zastosuj dostępną łatkę dla FreeRDP w Anacondzie lub tymczasowo wyłącz funkcję zdalnej instalacji (RDP) do czasu aktualizacji. Monitoruj komunikaty o awariach usługi.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in the FreeRDP used by Anaconda's remote install feature, where a crafted RDP packet could trigger a segmentation fault. This issue causes the service to crash and remain defunct, resulting in a denial of service. It occurs pre-boot and is likely due to a NULL pointer dereference. Rebooting is required to recover the system.

