GoAnywhere MFT یک ابزار انتقال فایل مدیریتشده مبتنی بر وب است که به سازمانها کمک میکند فایلها را به صورت امن به اشتراک بگذارند و گزارشهای حسابرسی افرادی که به همه فایلهای مشترک دسترسی داشتهاند را نگه دارند.
آسیبپذیری دورزدن احراز هویت با شناسه CVE-2024-0204 و شدت 9.8 (بحرانی) در نرمافزار Fortra's GoAnywhere MFT شناسایی شده است که به مهاجمان اجازه میدهد تا از طریق پورتال مدیریت، کاربران جدیدی با سطح دسترسی مدیر، روی نسخههای آسیبپذیر ایجاد کنند.
بر اساس بردار حمله این آسیبپذیری ( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهرهبرداری از طریق شبکه مجاور امکانپذیر نیست (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین و یا بالا ندارد (PR:N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و با بهرهبرداری از این آسیبپذیری، هر سه ضلع امنیت با شدت زیادی تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
Fortra's GoAnywhere MFT نسخههای قبل از 7.4.1 نسبت به نقص امنیتی ذکرشده، آسیبپذیر هستند.
توصیههای امنیتی
جهت رفع آسیبپذیری مذکور، ابزار GoAnywhere MFT را به نسخه 7.4.1 یا بالاتر ارتقاء دهید.
منبع خبر:
- 26