یک آسیبپذیری با شناسه CVE-2024-3720 و شدت متوسط (6.3) در پلتفرم Tianwell Fire Intelligent Command کشف شده است. این آسیبپذیری مؤلفه رابط API را تحت تأثیر قرار میدهد که به دلیل مدیریت نادرست آرگومان "gsdwid" مهاجم میتواند با دستکاری آن، حملات تزریق SQL (SQL Injection) را پیادهسازی کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و هر سه ضلع امنیت با شدت کمی تحت تأثیر قرار میگیرند (C:L/I:L/A:L).
محصولات تحت تأثیر
این آسیبپذیری نسخه v1.1.1.1 این پلتفرم را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران نسخه مورد استفاده خود را در اسرع وقت به آخرین نسخه بهروزرسانی کنند.
منبع خبر:
- 38