شناسایی یک لطمه پذیری بحرانی
آنی تل: کارشناسان از شناسایی یک لطمه پذیری بحرانی آگاهی داده اند که درصورت سو استفاده موفق، مهاجم احراز هویت نشده ازراه دور می تواند کد مورد نظر خودرا برروی سرویس دهنده لطمه پذیر اجرا نماید.
به گزارش آنی تل به نقل از ایسنا، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری وجود لطمه پذیری بحرانی را با شناسه CVE-۲۰۲۲-۳۴۹۴۳ و شدت خطر CVSSv۳ ۹.۸ در فریمورک Laravel اعلام نموده که درصورت سوءاستفاده موفق مهاجم احراز هویت نشده، ازراه دور می تواند کد دلخواه خودرا بر روی سرویس دهنده لطمه پذیر اجرا نماید. لازم به ذکر است این لطمه پذیری به طور گسترده در اینترنت مورد سواستفاده قرار گرفته و پیلود مربوطه به قیمت ۵ هزار دلار به فروش می رسد.
لطمه پذیری بیان شده مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی می شود. سپس مهاجم را قادر می کند تا کد مورد نظر خودرا برروی سرویس دهنده اجرا نماید که نتایج مخرب آتی را به دنبال خواهد داشت.
همچنین لاراول نسخه ۵.۱ تحت تأثیر این لطمه پذیری قرار می گیرد، بدین سبب به علت وجود این لطمه پذیری تنها در نسخه ۵.۱ فریمورک لاراول، کارشناسان امنیتی می توانند سریعا نسبت به تغییر نسخه مورد استفاده و بروزرسانی اقدام نمایند. لاراول نسخه ۹ در تاریخ ۱۸ اسفند ۱۴۰۰ انتشار یافته و تازه ترین نسخه موجود است که خیلی از موارد امنیتی در این نسخه لحاظ شده و نحوه بروزرسانی به نسخه های مختلف در وب سایت رسمی لاراول توضیح داده شده است.
منبع: anitel.ir
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان آنی تل در مورد این مطلب