پارس تدوین
پارس تدوین
خواندن ۱ دقیقه·۳ سال پیش

کشف آسیب پذیری در نرم افزار Extensis Portfolio


محققین امنیتی چندین باگ امنیتی در نرم‌افزار Extensis Portfolio که یک نرم‌افزار مدیریت و میزبانی محتوا است، پیدا کرند.

در یک آزمایش نفوذ محققان مستقل امنیتی متوجه شدند که اعتبار مدیریتی پیش‌فرض در حال استفاده است.

در ادامه آزمایش متوجه شدند که از طریق یک ضعف امنیتی آپلود فایل می‌توانند کدهای مخرب کنترل از راه دور را استفاده کنند.

آزمونگران نرم‌افزار در ادامه منبع کد Extensis Portfolio را موردبررسی قرار داده و توانستند پنج آسیب‌پذیری را که نیاز به رسیدگی فوری دارند شناسایی نمایند.

  • CVE-2022-24251
  • CVE-2022-24255
  • CVE-2022-24252
  • CVE-2022-24254
  • CVE-2022-24253

هنوز مشخص نیست که آیا سو استفاده‌ای از هر یک از این آسیب‌پذیری‌ها صورت گرفته یا خیر

این‌گونه متداول است که در صورت شناسایی آسیب‌پذیری توسط بنگاه‌های بازرسی و تحقیقاتی نرم‌افزاری یک فرصت ۹۰ روزه باقابلیت یک‌بار تمدید به تولیدکننده نرم‌افزار جهت رفع آسیب‌پذیری داده می‌شود. اگر در این مهلت تولیدکننده نرم‌افزار اقدام به انتشار وصله ننماید، کاشف آسیب‌پذیری موضوع را به‌صورت عمومی منتشر می‌کند.

این عمل به‌منظور تشویق تولیدکننده نرم‌افزار به اقدام با سرعت هر چه بیشتر برای رفع آسیب‌پذیری است.

در مورد این پرونده محققان از ماه اوت ۲۰۲۱ در تلاش برای ارتباط با شرکت نرم‌افزاری از طریق وب‌سایت و شبکه‌های اجتماعی بوده‌اند بالاخره در ماه سپتامبر موفق شدند از طریق حساب کاربری یکی از کاربران با پشتیبان نرم‌افزار تماس گرفته و موضوع را به آن‌ها اطلاع بدهند.

بعد تأیید دریافت اخبار کشف آسیب‌پذیری نسخه ۴ نرم‌افزار با ادعای برطرف شدن مشکل منتشر شد؛ اما محققان امنیتی ضمن رد این ادعا اذعان داشتند که آسیب‌پذیری کماکان پابرجا است و اقدام به انتشار آن نمودند.

یاگ امنیتیامنیتامنیت اندپوینت
شاید از این پست‌ها خوشتان بیاید