کمیته رکن چهارم – آسیبپذیری خطرناک Path Traversal در نرمافزار DataDiodeX شناسایی شده که میتواند به مهاجمان اجازه دسترسی غیرمجاز به دایرکتوریها و فایلهای سیستم خارج از محدوده مجاز نرمافزار را بدهد.
به گزارش کمیته رکن چهارم، محصول DataDiodeX شرکت DataFlowX Technology که برای ایجاد ارتباط یکطرفه و ایمن بین شبکههای حساس طراحی شده است، با آسیبپذیری جدیدی مواجه شده است. این نرمافزار به شبکههای حیاتی امکان میدهد دادهها را به صورت یکطرفه از شبکه داخلی به خارجی منتقل کنند و از ورود دادههای خارجی و نفوذهای سایبری جلوگیری میکند.
جزئیات آسیبپذیری Path Traversal (CVE-2024-6445):
آسیبپذیری Path Traversal با شناسه CVE-2024-6445 و شدت ۱۰ در نرمافزار DataDiodeX شناسایی شده است. این نقص به دلیل عدم اعتبارسنجی صحیح ورودیهایی که مسیر فایلها را تعیین میکنند، رخ میدهد و مهاجمان میتوانند از این آسیبپذیری برای دسترسی به فایلهای حساس سیستم و استخراج اطلاعات محرمانه استفاده کنند. در صورتی که مهاجمان به فایلهای اجرایی دسترسی یابند، ممکن است بتوانند کدهای مخرب را اجرا کرده و کنترل کامل سیستم را در دست بگیرند.
نسخههای آسیبپذیر و راهکارهای مقابله:
نسخههای قبل از ۳٫۵٫۰ نرمافزار DataDiodeX تحت تاثیر این آسیبپذیری قرار دارند. برای جلوگیری از سوءاستفاده از این نقص، توصیه میشود که:
اعتبارسنجی ورودیها: تمامی ورودیهایی که مسیر فایل را تعریف میکنند باید بهدرستی فیلتر و بررسی شوند تا کاراکترهای نامعتبر و دستورات تغییر مسیر مسدود شوند.
استفاده از توابع امن: دسترسی به فایلها باید از طریق توابعی صورت گیرد که مسیرهای ورودی را بررسی کرده و فقط به فایلهای موجود در مسیرهای مجاز دسترسی دهند.
محدودیت دسترسی: دسترسی به فایلهای حساس باید محدود به کاربران و برنامههایی باشد که به آنها نیاز دارند و سایر کاربران نباید به این فایلها دسترسی داشته باشند.
این آسیبپذیری به مهاجمان امکان میدهد که از نقاط ضعف سیستم سوءاستفاده کرده و به دادههای حساس دسترسی پیدا کنند. بهروزرسانی فوری نرمافزار به نسخههای جدیدتر و پیادهسازی توصیههای امنیتی میتواند از سوءاستفادههای احتمالی جلوگیری کند.
