Pandora FMS نرمافزاری جهت نظارت بر شبکههای کامپیوتری است که امکان رصد بصری وضعیت و عملکرد چندین پارامتر از سیستمهای عامل، سرورها، برنامههای کاربردی و سیستمهای سختافزاری مختلف مانند فایروالها، پروکسیها، پایگاههای داده، وب سرورها یا روترها را فراهم میکند. طبق تحقیقات به عمل آمده، چند آسیبپذیری با شدتهای پایین، متوسط و پرخطر در نرمافزار Pandora FMS کشف شدهاند. این آسیبپذیریها که ناشی از عدم بررسی مناسب ورودی میباشند، به مهاجم امکان اجرای حملات تزریق کد جاوااسکریپت(XSS) و SQL را میدهند.این آسیبپذیریها به شرح ذیل میباشند:
- CVE-20230-41813: به مهاجم امکان ویرایش اعلانات کاربر در کنسول وب را میدهد. شدت این آسیبپذیری CVSS 3.0 میباشد.
- CVE-20230-41814: هنگامی که کاربر قربانی اعلانهای خود را باز میکند، از طریق یک payload HTML (تگ iframe) میتوان حملات XSS را انجام داد و کد مخرب بر دستگاه کاربر اجرا میشود. شدت این آسیبپذیری CVSS 3.7 میباشد.
- CVE-20230-41815: در صورت بهرهبرداری موفقیتآمیز از این آسیبپذیری، میتوان کدهای مخرب را در بخش مدیریت فایل اجرا کرد. شدت این آسیبپذیری CVSS 7.5 میباشد.
- CVE-20230-44088: این نقص امنیتی مربوط به تزریق کد SQL میباشد و به مهاجم با هر سطح دسترسی (هرچند پایین) اجازه اجرای این حملات را میدهد. شدت این آسیبپذیری CVSS 5.9 میباشد.
- CVE-20230-44089: این آسیبپذیری نیز امکان اجرای حملات XSS توسط مهاجم را فراهم خواهد کرد و امتیاز آن CVSS 6.1 میباشد.
محصولات تحت تأثیر
کلیه آسیبپذیریهای فوقالذکر، نسخههای 700 الی 774 نرمافزار Pandora FMS را تحت تأثیر خود قرار میدهند.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت نرمافزار Pandora FMS را به نسخههای بالاتر از 774 ارتقاء دهند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2023-41813
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-41814
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-41815
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-44088
[5] https://nvd.nist.gov/vuln/detail/CVE-2023-44089
- 55