آسیب‌پذیری بحرانی در کمین کاربران است

کمیته رکن چهارم – کارشناسان از شناسایی یک آسیب پذیری بحرانی خبر داده‌اند که درصورت سوء‌استفاده موفق، مهاجم احراز هویت نشده از راه دور می‌تواند کد مورد نظر خود را برروی سرویس‌دهنده آسیب‌پذیر اجرا کند.

وجود آسیب‌پذیری بحرانی با شناسه CVE-۲۰۲۲-۳۴۹۴۳ و شدت خطر CVSSv۳ ۹.۸ در فریمورک Laravel اعلام شد که درصورت سوءاستفاده موفق مهاجم احراز هویت نشده، از راه دور می‌تواند کد دلخواه خود را بر روی سرویس دهنده آسیب‌پذیر اجرا کند. لازم به ذکر است این آسیب‌پذیری به صورت گسترده در اینترنت مورد سواستفاده قرار گرفته و پیلود مربوطه به قیمت ۵ هزار دلار به فروش می‌رسد.

آسیب پذیری بیان شده مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی می‌شود. سپس مهاجم را قادر می‌کند تا کد مورد نظر خود را برروی سرویس دهنده اجرا کند که پیامدهای مخرب آتی را به دنبال خواهد داشت.

همچنین لاراول نسخه ۵.۱ تحت تأثیر این آسیب پذیری قرار می‌گیرد، بنابراین به دلیل وجود این آسیب پذیری تنها در نسخه ۵.۱ فریمورک لاراول، کارشناسان امنیتی می‌توانند سریعا نسبت به تغییر نسخه مورد استفاده و به‌روزرسانی اقدام کنند. لاراول نسخه ۹ در تاریخ ۱۸ اسفند ۱۴۰۰ منتشر شده و جدیدترین نسخه موجود است که بسیاری از موارد امنیتی در این نسخه لحاظ شده و نحوه به‌روزرسانی به نسخه‌های مختلف در وب سایت رسمی لاراول توضیح داده شده است.

منبع : ایتنا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.