یک آسیبپذیری بحرانی با شناسه CVE-2024-52899 و شدت 8.5 در نرمافزارIBM Data Virtualization Manager کشف شده است. این نرمافزار امکان دسترسی و مجازیسازی دادههای ذخیرهشده در بزرگرایانهها را فراهم میکند و برای اجرا به روی سیستمعامل پیشرفته z/OS طراحی شده است که ویژه پردازش دادههای سازمانی در مقیاس بزرگ است. این آسیبپذیری به کاربران احراز هویتشده امکان میدهد با تزریق پارامترهای مخرب درURLهای JDBC، به کدهای اجرایی سرور دسترسی پیدا کنند. مشکل اصلی از اعتبارسنجی ناکافی یا پاکسازی نادرست ورودیهای کاربر در این URLها ناشی میشود. روش بهرهبرداری مهاجم شامل مراحل زیر است:
1. ایجاد یک JDBC URL مخرب که شامل کدها یا پارامترهای نامعتبر است.
2. ارسال این URL به سیستم هدف.
3. اجرای کدهای مخرب توسط سیستم، که میتواند منجر به افشای اطلاعات، تغییر دادهها یا اختلال در سرویس شود.
این آسیبپذیری به دلیل خطای طراحی در مدیریت پارامترهای ورودی به وجود آمده و مهاجم با بهرهبرداری از آن میتواند کنترل جزئی یا کامل سرور را به دست بیاورد.
محصولات آسیبپذیر
نسخههای ۱.۱ و ۱.۲ از این نرمافزار تحت تأثیر این آسیبپذیری قرار گرفتهاند.
توصیه امنیتی
جهت رفع این آسیبپذیری به کاربران توصیه میشود؛ نرم افزار خود را به آخرین نسخه ارائه شده بهروزرسانی کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-52899
[2]https://www.ibm.com/support/pages/node/7177091
[3]https://www.securityweek.com/ibm-patches-rce-vulnerabilities-in-data-virtualization-manager-securit…;
- 57