به تازگی یک آسیبپذیری با شناسه CVE-2023-4479 و شدت بالا(7.3) در M-Files Web کشف شده است. این نقص امنیتی به یک مهاجم اجازه میدهد تا اسکریپتی که در مرورگر کاربران از طریق سند HTML ذخیره شده در مدت زمان محدود اجرا کند و حمله Stored XSS را پیاده کند. بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و به راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی پایین دارد (PR: L)، به تعامل با کاربر نیز نیاز دارد (UI: R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و با بهرهبرداری از آن، دو ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرد.
محصولات تحتتأثیر
نسخههای قبل از 23.8 محصول M-Files Web تحتتأثیر این نقص امنیتی قرار دارند.
توصیههای امنیتی
به کاربران توصیه میشود M-Files Web را به نسخه 23.8 یا بالاتر بهروزرسانی کنند.
منبع خبر:
- 38