به تازگی دو آسیبپذیری با شناسههای CVE-2024-4337 و CVE-2024-4336 با شدت بالا (7.6) در Adive Framework کشف شده است. در این نقص امنیتی، Adive Framework ورودیهای وارد شده توسط کاربر را به درستی رمزگذاری نمیکند، که منجر به آسیبپذیری Cross-Site Scripting (XSS) از طریق /adive/admin/tables/add در چندین پارامتر میشود. یک مهاجم با بهرهبرداری از این نقص میتواند جزئیات session یک کاربر احراز هویت شده را بازیابی کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و یک ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرد (C:H/I:L/A:L).
محصولات تحت تأثیر
این آسیبپذیری نسخه Adive Framework 2.0.8 را تحت تأثیر قرار میدهد.
منبع خبر:
https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-adive-framework
- 56