یک آسیب‌پذیری اجرای کد از راه دور (RCE) در Splunk Enterprise کشف شده است که به مهاجمان امکان بارگذاری فایل‌های مخرب دلخواه را خواهد داد. در برخی از نسخه‌های این پلتفرم XSLT ارائه شده توسط کاربر تایید اعتبار نمی‌شود. این موضوع حاکی از آن است که یک XSLT مخرب می‌تواند توسط مهاجم بارگذاری شود که ممکن است منجر به اجرای کد از راه دور شود. این آسیب‌پذیری دارای شدت 8.0 در سیستم CVSS 3.1 می‌باشد و شناسه CVE-2023-46214 را به خود اختصاص داده است.
با مقایسه نسخه‌های وصله شده Splunk و نسخه‌های آسیب‌پذیر می‌توان متوجه شد که تابع parse_xsl_file_and_validate به کدها اضافه شده که یک سند XSL را مورد بررسی قرار می‌دهد. کدی که قبلاً در تابع getJobAsset وجود داشته بدون هیچ تایید اعتباری اجرا می‌شده اما اکنون تنها در صورت بررسی موفق parse_xsl_file_and_validate، اجرا می‌شود:
بنابراین با انجام مراحل زیر می‌توان به اجرای کد از راه دور دست یافت:
1.    ساخت یک فایل XSL معتبر
2.    بررسی نیازمندی‌های رسیدن به قسمتی از کد که دارای آسیب‌پذیری است.
3.    شناسایی endpoint آسیب‌پذیر
4.    محل بارگذاری فایل قابل پیش‌بینی
5.    علم به اینکه اسکریپت را کجا بنویسیم
6.    اجرای اسکریپت
* شایان ذکر است که کد اکسپلویت این آسیب‌پذیری در حال حاضر منتشر شده است.

محصولات تحت تاثیر
•    در سری 9.0 محصول Splunk Enterprise و در مؤلفه Splunk Web نسخه‌های 9.0.0 تا 9.0.6 آسیب‌پذیر هستند و در نسخه 9.0.7 آسیب‌پذیری برطرف شده است.
•    در سری 9.1 محصول Splunk Enterprise و در مؤلفه Splunk Web نسخه‌های 9.1.0 تا 9.1.1 آسیب‌پذیر هستند و در نسخه 9.1.2 آسیب‌پذیری برطرف شده است.
•    در نسخه‌های قبل از 9.1.2308 محصول Splunk Cloud و در مؤلفه Splunk Web این آسیب‌پذیری وجود دارد که در نسخه 9.1.2308 برطرف شده است.

توصیه‌های امنیتی
توصیه می‌گردد Splunk Enterprise را به نسخه 9.0.7 یا 9.0.7 به‌روزرسانی نمایید. محصول Splunk Cloud نیز باید به نسخه 9.1.2308 به‌روزرسانی شود.

منابع خبر:

[1] https://advisory.splunk.com/advisories/SVD-2023-1104
[2] https://www.cve.org/CVERecord?id=CVE-2023-46214
[3] https://blog.hrncirik.net/cve-2023-46214-analysis
[4] https://cybersecuritynews.com/splunk-rce-vulnerability/
[5] https://github.com/nathan31337/Splunk-RCE-poc/blob/main/CVE-2023-46214.py
[6] https://nvd.nist.gov/vuln/detail/CVE-2023-46214

یک آسیب‌پذیری با شناسه CVE-2021-37942 و شدت 7.0 درElastic  شناسایی شد. این آسیب‌پذیری امکان افزایش سطح دسترسی محلی از طریق APM Java agent را برای مهاجم فراهم می‌آورد. یک مهاجم در سیستم با اتصال یک افزونه مخرب به برنامه‌ای که APM Java agent  را اجرا می‌کند می‌تواند کد را با دسترسی بالایی اجرا کند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Elastic شامل APM Java Agent نسخه‌های 1.18.0 تا 1.27.0را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء APM Java Agent به نسخه 1.27.1 یا نسخه‌های جدیدتر اقدام نمایند. یا از روش نصب بدون تأثیر -javaagent-based طبق لینک زیر اقدام نمایند:

https://www.elastic.co/guide/en/apm/agent/java/current/setup-javaagent.html

منبع خبر:

[1] https://discuss.elastic.co/t/apm-java-agent-security-update/291355
 

Atlassian در بولتن امنیتی خود دو آسیب‌پذیری با شدت بالا منتشر کرده است. این آسیب‌پذیری‌ها که با شناسه CVE-2023-22516 و شدت 8.5 و شناسه CVE-2023-22521 و شدت 8.0، امکان اجرای کد دلخواه از راه دور (RCE) را برای مهاجم فراهم می‌آورند و محرمانگی، یکپارچگی و در دسترس بودن را تحت تاثیر قرار می‌دهند. همچنین به تعامل با کاربر نیازی ندارند.

محصولات تحت تأثیر
این آسیب‌پذیری محصولات Atlassian شامل Bamboo Data Center و Server نسخه‌های 8.1.0، 8.2.0، 9.0.0، 9.1.0، 9.2.0 و 9.3.0 و Crowd Data Center و Server نسخه‌های 3.4.6 و 5.2.0 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Bamboo Data Center و Server و Crowd Data Center و Server به آخرین نسخه‌های وصله ‌شده اقدام نمایند. در غیر اینصورت:
-    Bamboo Data Center و Server نسخه 9.2 را به نسخه 9.2.7 یا بالاتر ارتقا دهید.
•    در صورتی که از Java 8 برای اجرای Bamboo Data Center و Server استفاده شود، باید از JDK 1.8u121+ استفاده شود.
-    Bamboo Data Center و Server نسخه 9.3 را به نسخه 9.3.4 یا بالاتر ارتقا دهید.
-    Crowd Data Center و Server نسخه 3.4 به نسخه 5.1.16 یا بالاتر ارتقا دهید.
-    Crowd Data Center و Server نسخه 5.2 به نسخه 5.2.1 یا بالاتر ارتقا دهید.

منابع خبر:

[1] https://jira.atlassian.com/browse/BAM-25168
[2] https://jira.atlassian.com/browse/CWD-6139
[3]https://confluence.atlassian.com/bambooreleases/bamboo-9-2-upgrade-notes-1207179212.html
[4] https://confluence.atlassian.com/bambooreleases/bamboo-release-notes-1189793869.html
[5] https://www.atlassian.com/software/bamboo/download-archives
[6] https://confluence.atlassian.com/crowd/crowd-release-notes-199094.html
[7] https://www.atlassian.com/software/crowd/download-archive

یک آسیب‌پذیری با شناسه CVE-2023-5593 و شدت 7.8 در Zyxel شناسایی شد. این آسیب‌پذیری به‌دلیل نوشتن خارج از محدوده در حافظه (out-of-bounds write) به مهاجم محلی این امکان را می‌دهد تا با ارسال یک پیام CREATE دستکاری شده، سطح دسترسی خود را افزایش دهد. این نقص امنیتی بر عملکرد ناشناخته مؤلفه CREATE Message Handler تأثیر می‌گذارد. دستکاری ورودی ناشناخته (ورودی مخرب) منجر به آسیب‌پذیری نوشتن خارج از محدوده می‌شود و داده‌ها قبل از پایان یا قبل از شروع در بافر مورد نظر نوشته می‌شوند. این امر بر محرمانگی، یکپارچگی و در دسترس بودن داده‌ها تأثیر می‌گذارد.

محصولات تحت تأثیر
آسیب‌پذیری مذکور محصول Zyxel شامل نرم‌افزار SecuExtender SSL VPN Client مبتنی بر ویندوز (Windows-based) نسخه 4.0.4.0 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء SecuExtender SSL VPN Client (Windows-based) به نسخه 4.0.5.0 اقدام نمایند.

منبع خبر:

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-out-of-boun…

یک آسیب‌پذیری با شناسه CVE-2023-36553 و شدت 9.8 در FortiSIEM  شناسایی شده است. این آسیب‌پذیری مربوط به بخش  Report Server و از نوع Improper neutralization است و منجر به OS command injection  خواهد شد. مهاجم از راه دور و بدون احرازهویت امکان اجرای دستورات از طریق درخواست‌های مخرب API را دارد. به گفته محققان این نقص امنیتی نوع دیگری از آسیب‌پذیری با شناسه CVE-2023-34992 است.

محصولات تحت تاثیر
FortiSIEM نسخه‌های از 4.7 تا 5.4 آسیب‌پذیر می‌باشند.

توصیه‌های امنیتی
به مدیران سیستم‌ها توصیه می‌شود که به نسخه‌های 6.4.3، 6.5.2، 6.6.4، 6.7.6، 7.0.1 یا 7.1.0 و بالاتر ارتقاء دهند. 

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-36553
[2] https://www.fortiguard.com/psirt/FG-IR-23-135
[3] https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-command-injection-bug-in-…

شواهد حاکی از آن‌ است که مهاجمان امنیتی، از نتایج تغییریافته‌ی جستجو و تبلیغات گوگل سوءاستفاده می‌کنند تا کاربرانی که قصد دانلود نرم‌افزارهایی مانند WinScp‌ دارند را فریب دهند به این صورت که بجای نرم‌افزار مورد‌نظر، به اشتباه بدافزار را نصب کنند. تبلیغ مخرب، کاربر را به یک وب‌سایت در معرض خطر وردپرس  “gameeweb[.]com” هدایت می کند و در نهایت او را به یک سایت فیشینگ (سرقت سایبری) که کنترل آن بدست مهاجم است می‌رساند. مهاجمان از سرویس تبلیغات جستجوی پویای گوگل (Dynamic Search Ads) که به طور خودکار تبلیغاتی را بر اساس محتوای یک سایت تولید می کند، استفاده می‌کنند تا تبلیغات مخربی که قربانیان را به سایت آلوده می برند را ایجاد کنند. هدف نهایی این زنجیره‌‌ی حمله‌ی چند مرحله‌ای و پیچیده، فریب کاربر جهت کلیک برروی وب‌سایت مشابه WinScp با نام دامنه winccp[.]net و دانلود بدافزار می‌باشد.
ترافیک از وب‌سایت gaweeweb[.]com به وب‌سایت جعلی winsccp[.] net توسط یک سربرگ(header) ارجاع‌دهنده که به درستی و بر مقدار صحیح تنظیم شده باشد منتقل می‌گردد. اگر ارجاع‌دهنده صحیح نباشد، کاربر به یک ویدئو ازپیش‌ تهیه‌شده در یوتیوب هدایت می‌شود. در نهایت یک فایل به شکل  ("WinSCP_v.6.1.zip") دانلود می‌شود که با یک فایل اجرایی همراه است و هنگام راه‌اندازی، از بارگذاری جانبی DLL جهت بارگیری و اجرای یک فایل به نام python311.dll که درفایل اصلی قرار‌داده‌ شده‌است، استفاده می‌کند. DLL، به نوبه خود، یک نصب‌کننده قانونی WinSCP را دانلود و اجرا می‌کند تا ظاهر فریبنده هدف  مهاجم حفظ شود، در حالی که به طور مخفیانه اسکریپت‌های Python ("slv.py" و "wo15.py") را در پس زمینه اجرا می‌کند تا عملیات مخربی از این طریق صورت گیرد. هر دو اسکریپت پایتون جهت برقراری ارتباط با یک سرور کنترل‌شده توسط مهاجم از راه دور طراحی شده‌اند تا به مهاجمان اجازه ‌دهند دستورات مخرب را روی میزبان اجرا کنند. این اولین بار نیست که از تبلیغات جستجوی پویای گوگل جهت توزیع بدافزار بهره‌برداری می‌شود. اواخر ماه گذشته، Malwarebytes کمپینی را شناسایی کرد که کاربرانی را که در جستجوی PyCharm بودند با لینک‌هایی به یک وب‌سایت هک شده که یک نصب‌کننده مخرب را دربرداشت، هدایت می‌کرد و امکان استقرار بدافزار سرقت اطلاعات بر روی سیستم قربانی را ایجاد می‌کرد.

توصیه‌های امنیتی
به گفته محققان، با توجه به این واقعیت که مهاجمان از تبلیغات گوگل جهت پخش بدافزارها استفاده می‌کنند، به احتمال زیاد این اهداف، به افرادی که به دنبال نرم‌افزار WinSCP هستند محدود می‌شود. تنظیمات مسدود‌سازی جغرافیایی استفاده شده در سایت میزبان بدافزار می‌تواند نشانگر این باشد که چه کاربرانی در چه کشور‌ها یا مناطقی قربانی این فریب شده‌اند. محبوبیت بدافزارهای در پوشش تبلیغات(Malvertising) میان مجرمان سایبری در چند سال گذشته افزایش داشته‌است و کمپین های بدافزار متعددی از این تاکتیک برای حملات در ماه های اخیر استفاده کرده‌اند.

منبع خبر:

https://translate.google.com/?sl=auto&tl=en-US&text=Malvertising%20has%20grown%20in%20popularity%20…;

آپاچی هادوپ در حوزه داده‌های بزرگ به‌عنوان یک ابزار کاربردی ظاهر شده است؛ یک چارچوب نرم‌افزاری که از قدرت محاسبات توزیع‌شده به‌منظور پردازش و تجزیه و تحلیل مجموعه‌ داده‌های بسیار بزرگ بهره می‌برد. با این‌حال، به‌تازگی یک آسیب‌پذیری با شناسه CVE-2023-26031 در آن کشف شده است که تهدید قابل‌توجهی برای امنیت هادوپ ایجاد می‌کند و به کاربران محلی این امکان را می‌دهد تا به دسترسی root رسیده و به اطلاعات حساس دسترسی پیدا کنند.این نقص امنیتی اجازه بارگیری کتابخانه‌های مشترک (.so files) از یک مسیر خاص را می‌دهد که در این حالت شامل دایرکتوری "/lib/native/" می‌باشد. مهاجم با ساخت یک کتابخانه libcrypto.so مخرب و قرار دادن آن در یک مسیر قابل دسترس برای نصب Hadoop می‌تواند از این آسیب‌پذیری بهره‌برداری کند. هنگامی که فایل باینری container-executor فراخوانی می‌شود، کتابخانه libcrypto.so مخرب بارگیری شده و به مهاجم امکان دسترسی root را خواهد داد.
آسیب‌پذیری مذکور امکان بهره‌‌برداری از راه دور را نیز دارد. اگر YARN کاربر را از راه دور احرازهویت کرده و تسک‌های ارسال شده توسط وی به‌جای اجرا در کانتینرها، بر روی میزبان فیزیکی اجرا شوند، آسیب‌پذیری می‌تواند برای بهره‌مندی از امتیازهای root از راه دور به‌کار گرفته شود. Apache Hadoop YARN یک مکانیزم مدیریت منابع است که در چارچوب Hadoop استفاده می‌شود. YARN اجازه می‌دهد تا برنامه‌های مختلف با استفاده از منابع سیستم (مانند پردازنده و حافظه) به‌صورت همزمان و موازی اجرا شوند. در واقع، YARN مسئول دسته‌بندی و اختصاص منابع به برنامه‌های مختلف جهت اجرای همزمان آن‌ها در یک سرور یا یک مجموعه از سرورها می‌باشد. برای تشخیص اینکه آیا Hadoop آسیب‌پذیر است یا خیر، می‌توان از دستور readelf جهت بررسی مقدار RUNPATH یا RPATH در فایل باینری container-executor استفاده کرد. اگر هر یک از این مقادیر شامل مسیر نسبی " ./lib/native/ " باشد، سیستم در معرض خطر قرار دارد.

محصولات تحت تأثیر
این آسیب‌پذیری در کتابخانه رزولوشن container-executor در نسخه‌های 3.3.1 تا 3.3.4 Apache Hadoop سیستم‌های لینوکس وجود دارد.

توصیه‌های امنیتی
1. به‌روزرسانی نرم‌افزار Hadoop به آخرین نسخه (3.3.5) بهترین راهکار جهت رفع این آسیب‌پذیری می‌باشد.
2. اگر از کانتینرهای امن YARN استفاده نمی‌کنید، می‌توانید container-executor را غیرفعال کنید. این می‌تواند با حذف مجوز اجرایی، تغییر مالکیت یا حتی حذف خود باینری انجام شود.
3. اگر به‌دلیل شرایط خاصی در حال حاضر نمی‌توانید به نسخه 3.3.5 ارتقاء دهید، می‌توانید باینری container-executor را با نسخه‌ای از 3.3.5 جایگزین کنید. 
4. جهت اطمینان از امنیت سیستم، از دستور readelf برای بررسی مقدار RUNPATH یا RPATH در باینری container-executor استفاده کنید. اگر این مقادیر شامل مسیر نسبی " ./lib/native/ " باشد، باید اقدامات لازم جهت رفع این مسئله را انجام دهید.
5. اطمینان حاصل کنید که دسترسی به مسیرها و فایل‌های مرتبط با Hadoop به افراد غیرمجاز محدود شده است. این اقدام می‌تواند به تقویت امنیت کلی سیستم کمک کند.

منابع خبر:

[1] https://hadoop.apache.org/cve_list.html
[2] https://github.com/advisories/GHSA-94jh-j374-9r3j

یک آسیب‌پذیری بحرانی با شناسه CVE-2023-34062 و شدت 7.5 در directory traversal شناسایی شده است که به سرور HTTP Reactor Netty، (بخش محبوبی از چارچوب Reactor Netty) مربوط می‌شود. این آسیب‌پذیری ممکن است به مهاجم اجازه دسترسی غیرمجاز به فایل‌های حساس را بدهد و منشأ آن به وجود یک نقص در پیاده‌سازی سرور HTTP Reactor Netty بازمی‌گردد که به مهاجم اجازه می‌دهد تا با تغییر URL  بتواند محدودیت‌های امنیتی را دور زده و سیستم فایلِ‌ سیستم آسیب‌پذیر را مدیریت کند. مهاجم با طراحی URLهای خاص، می‌تواند به فایل‌های حساس، از جمله فایل‌های پیکربندی و داده‌های حساس دسترسی پیدا کرده و کد دلخواه خود را اجرا کند.

محصولات تحت تأثیر
آسیب‌پذیری مذکور بر نسخه‌های 1.1.x تا 1.1.13 و نسخه‌های 1.0.x تا 1.0.39 از سرور HTTP Reactor Netty تأثیر می‌گذارد. همچنین، هر برنامه‌ای که از سرور HTTP Reactor Netty برای ارائه منابع ایستا استفاده می‌کند، به احتمال زیاد آسیب‌پذیر می‌باشد.

 توصیه‌های امنیتی
1.  نخستین و مهمترین اقدام، ارتقاء به نسخه‌های به‌روزرسانی‌شده‌ی Reactor Netty HTTP Server می‌باشد. کاربران نسخه‌های 1.1.x باید به نسخه 1.1.13 و کاربران نسخه‌های 1.0.x باید به نسخه 1.0.39 ارتقاء دهند.
2. تنظیمات فایروال می‌تواند کمک کند تا دسترسی به URLهای خاصی که از آسیب‌پذیری بهره‌برداری می‌کنند، محدود شود. فایروال را به‌روز کرده و تنظیمات امنیتی آن را بررسی کنید.
3. از الگوها و رویه‌های امنیتی در برنامه‌ها و سیستم‌های خود استفاده کنید تا از حملات مشابه پیشگیری شود. این امر ممکن است شامل استفاده از تابع‌های امن جهت پردازش URL و مسیرها باشد.
 استفاده از توابع امن جهت پردازش URL و مسیرها به معنای استفاده از توابع و روش‌هایی است که اطمینان حاصل می‌کنند که داده‌های ورودی به‌درستی پردازش می‌شوند و از آسیب‌پذیری‌های مربوط به حملات نظیر تزریق کد (Injection Attacks) جلوگیری می‌شود. در زبان برنامه‌نویسی Python، کتابخانه `urllib` ابزارهای مفیدی جهت پردازش URL ارائه می‌دهد و برای جلوگیری از حملاتی نظیر حمله فوق، می‌توان از توابعی مانند `quote` در پاک‌سازی و ایمن‌سازی URL استفاده کرد.
 

4. اطمینان حاصل کنید که سرویس‌ها و فرآیندهای Reactor Netty HTTP Server با حداقل دسترسی لازم اجرا می‌شوند. این مجوزها باید به‌گونه‌ای تعریف شوند که دسترسی به فایل‌ها و منابع حساس محدود شود.
5. اجرای ارزیابی‌های امنیتی بر روی نرم‌افزار و سرویس‌های مرتبط می‌تواند کمک کند تا آسیب‌پذیری‌های احتمالی شناسایی شده و اقدامات اصلاحی قبل از وقوع حمله صورت پذیرد.

منبع خبر:

[1] https://spring.io/security/cve-2023-34062

اخیراً یک آسیب‌پذیری با شناسه CVE-2023-48219 و شدت 6.1 در ویرایشگر متن وردپرس TinyMCE کشف شده است که به مهاجم امکان تزریق کد مخرب به برنامه‌های وب را خواهد داد.
 

تزریق کد Cross-Site (mXSS) ناشی از مدیریت نادرست گره‌های متنی، طی فرآیند سریال‌سازی می‌باشد که این فرآیند هنگامی رخ می‌دهد که TinyMCE محتوای متن را به فرمت HTML خام تبدیل می‌کند. اگر این گره‌های متنی حاوی کاراکترهای ویژه‌ای باشند که به عنوان نشانگرهای داخلی رزرو شده‌اند، می‌توان آن‌ها را با سایر الگوهای HTML ترکیب کرد تا قطعه‌های مخرب ایجاد کنند.
پس از تجزیه محتوا در بدنه ویرایشگر، این قطعه‌های مخرب می‌توانند لایه پاکسازی اولیه را دور زده و حملات XSS را راه‌اندازی کنند. چنین جهش‌هایی زمانی اتفاق می‌افتد که محتوای HTML سریال‌سازی‌شده قبل از ذخیره در پشته، پردازش می‌شود و یا زمانی که از APIها و افزونه‌های خاصی استفاده می‌شوند، مانند:
`tinymce.Editor.getContent({ format: 'raw' })`
 `tinymce.Editor.resetContent()`
Autosave

ممکن است بهره‌برداری از این آسیب‌پذیری به مهاجم اجازه دهد تا کد جاوا اسکریپت دلخواه خود را در برنامه‌های وب اجرا کند و از این طریق منجر به فعالیت‌های مخرب مختلفی شود که برخی از آن‌ها‌ عبارتند از:
1.    تخریب Session ها و تصاحب حساب‌های کاربری
2.    سرقت اطلاعات حساس کاربران، از جمله رمزهای عبور و جزئیات اطلاعات احرازهویت
3.    هدایت کاربران به وب‌سایت‌های مخرب
4.    تزریق بدافزار در دستگاه‌های کاربر

توصیه‌های امنیتی
1.  به کاربران توصیه می‌شود در اسرع وقت ویرایشگر TinyMCE خود را به نسخه‌های 6.7.3 یا 5.10.9  ارتقاء دهند.
2.  جهت جلوگیری از ورود کدهای مخرب به سیستم می‌توان ایجاد محدودیت‌ها و پاکسازی محتوا را پیاده‌سازی کرد.
3.  از اعتبارسنجی داده‌های ورودی به TinyMCE اطمینان حاصل کرده تا فقط داده‌های معتبر و ایمن ارسال شوند. 
4.  اعمال به موقع به‌روزرسانی‌های امنیتی برای TinyMCE و سایر نرم‌افزارهای مرتبط.

منبع خبر:

[1] https://www.cvedetails.com/cve/CVE-2023-48219/

یک آسیب‌پذیری با شناسه CVE-2023-6111 و شدت 7.8 در مؤلفه nf_tables که بخشی از زیرسیستم netfilter هسته لینوکس می‌باشد کشف شده است که منجر به ارتقاء سطح دسترسی مهاجم خواهد شد.
 این آسیب‌پذیری از نوع use-after-free می‌باشد که به ازای آزاد شدن یک عنصر از حافظه، امکان استفاده از آن عنصر وجود دارد و تابع nft_trans_gc_catchall به‌طور صحیح عنصر مجموعه catchall را از لیست catchall_list حذف نمی‌کند که این امر می‌تواند منجر به آزاد شدن چندباره عنصر مجموعه catchall شود، که ممکن است توسط حملات use-after-free مورد بهره‌برداری قرار میگرد. 

توصیه‌‎های امنیتی
جهت رفع این نقص امنیتی، توصیه می‌شود که لینوکس را به نسخه‌هایی از هسته لینوکس که شامل Commit با شناسه 93995bf4af2c5a99e2a87f0cd5ce547d31eb7630 می‌باشند، ارتقاء دهید.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-6111
[2] https://github.com/advisories/GHSA-xgr2-4f4q-m3p9
[3] https://access.redhat.com/security/cve/CVE-2023-6111
[4] https://explore.alas.aws.amazon.com/CVE-2023-6111.html