در یک آزمایش نفوذ محققان مستقل امنیتی متوجه شدند که اعتبار مدیریتی پیشفرض در حال استفاده است.
در ادامه آزمایش متوجه شدند که از طریق یک ضعف امنیتی آپلود فایل میتوانند کدهای مخرب کنترل از راه دور را استفاده کنند.
آزمونگران نرمافزار در ادامه منبع کد Extensis Portfolio را موردبررسی قرار داده و توانستند پنج آسیبپذیری را که نیاز به رسیدگی فوری دارند شناسایی نمایند.
هنوز مشخص نیست که آیا سو استفادهای از هر یک از این آسیبپذیریها صورت گرفته یا خیر
اینگونه متداول است که در صورت شناسایی آسیبپذیری توسط بنگاههای بازرسی و تحقیقاتی نرمافزاری یک فرصت ۹۰ روزه باقابلیت یکبار تمدید به تولیدکننده نرمافزار جهت رفع آسیبپذیری داده میشود. اگر در این مهلت تولیدکننده نرمافزار اقدام به انتشار وصله ننماید، کاشف آسیبپذیری موضوع را بهصورت عمومی منتشر میکند.
این عمل بهمنظور تشویق تولیدکننده نرمافزار به اقدام با سرعت هر چه بیشتر برای رفع آسیبپذیری است.
در مورد این پرونده محققان از ماه اوت ۲۰۲۱ در تلاش برای ارتباط با شرکت نرمافزاری از طریق وبسایت و شبکههای اجتماعی بودهاند بالاخره در ماه سپتامبر موفق شدند از طریق حساب کاربری یکی از کاربران با پشتیبان نرمافزار تماس گرفته و موضوع را به آنها اطلاع بدهند.
بعد تأیید دریافت اخبار کشف آسیبپذیری نسخه ۴ نرمافزار با ادعای برطرف شدن مشکل منتشر شد؛ اما محققان امنیتی ضمن رد این ادعا اذعان داشتند که آسیبپذیری کماکان پابرجا است و اقدام به انتشار آن نمودند.
