کشف آسیب‌پذیری در M-Files Web

کشف آسیب‌پذیری در M-Files Web

تاریخ ایجاد

به تازگی یک آسیب‌پذیری با شناسه CVE-2023-4479 و شدت بالا(7.3) در M-Files Web کشف شده است. این نقص امنیتی به یک مهاجم اجازه می‌دهد تا اسکریپتی که در مرورگر کاربران از طریق سند HTML ذخیره شده در مدت زمان محدود اجرا کند و حمله Stored XSS را پیاده کند. بر اساس بردار حمله این آسیب‌پذیری   (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N)  بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌ راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین دارد (PR: L)، به تعامل با کاربر نیز نیاز دارد (UI: R)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و با بهره‌برداری از آن، دو ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرد.

محصولات تحت‌تأثیر
نسخه‌های قبل از 23.8 محصول M-Files Web تحت‌تأثیر این نقص امنیتی قرار دارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود M-Files Web را به نسخه 23.8 یا بالاتر به‌روزرسانی کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2023-4479