کشف آسیب‌پذیری در Gescen

کشف آسیب‌پذیری در Gescen

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-4466 و شدت بحرانی (9.8) برای Gescen کشف و شناسایی شده است. طبق بررسی‌های صورت گرفته، این نقص امنیتی به دلیل پیکربندی نامناسب پارامتر pass رخ می‌دهد و مهاجم با بهره‌برداری از آن و با ارسال یک SQL query خاص به پارامتر pass، می‌تواند حمله SQL injection را پیاده‌سازی کند و به تمام اطلاعات و داده‌‌های موجود در پایگاه داده دسترسی پیدا کند.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز ندارد (UL:N)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
آسیب‌پذیری مذکور نسخه 2023 Gescen را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود Gescen را به آخرین نسخه موجود به‌روزرسانی کنند.

منبع خبر:


 https://www.incibe.es/en/incibe-cert/notices/aviso/sql-injection-vulnerability-gescen