یک آسیبپذیری با شناسه CVE-2024-4466 و شدت بحرانی (9.8) برای Gescen کشف و شناسایی شده است. طبق بررسیهای صورت گرفته، این نقص امنیتی به دلیل پیکربندی نامناسب پارامتر pass رخ میدهد و مهاجم با بهرهبرداری از آن و با ارسال یک SQL query خاص به پارامتر pass، میتواند حمله SQL injection را پیادهسازی کند و به تمام اطلاعات و دادههای موجود در پایگاه داده دسترسی پیدا کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر
آسیبپذیری مذکور نسخه 2023 Gescen را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود Gescen را به آخرین نسخه موجود بهروزرسانی کنند.
منبع خبر:
https://www.incibe.es/en/incibe-cert/notices/aviso/sql-injection-vulnerability-gescen
- 41