GitLab یک پلتفرم مبتنی‌ بر وب است که مجموعه‌ای از ابزارها را برای کنترل نسخه (به ویژه مدیریت مخزن Git)، یکپارچه‌سازی مداوم، تحویل مداوم و همکاری فراهم می‌کند. همچنین برای ساده‌سازی چرخه توسعه نرم‌افزار استفاده می‌شود. GitLab اخیراً به‌روزرسانی‌های امنیتی را جهت مقابله با دو آسیب‌پذیری بحرانی منتشر کرده‌است که یک مورد از آنها منجر به تصاحب حساب بدون هیچ‌گونه تعاملی با کاربر خواهد شد. این آسیب‌پذیری دارای شناسه CVE-2023-7028 و شدت 10 می‌باشد. این نقص امنیتی می‌تواند عوامل مخرب را قادر سازد تا کنترل حساب‌ها را با ارسال ایمیل‌های بازنشانی رمزعبور به آدرس ایمیل تایید نشده در دست بگیرند. آسیب‌پذیری دوم با شناسه CVE-2023-5356 و شدت 9.6 به مهاجم اجازه می‌دهد تا از ادغام Slack/Mattermost جهت اجرای دستورات slash  بهره‌برداری کند. این آسیب‌پذیری نتیجه یک نقص امنیتی در فرآیند تأیید ایمیل می‌باشد که به کاربران اجازه می‌دهد رمزعبور خود را از طریق یک آدرس ایمیل ثانویه بازنشانی کنند.

محصولات تحت تأثیر
این آسیب‌پذیری بر تمام نمونه‌های Community Edition (CE) و Enterprise Edition (EE) در نسخه‌های زیر تأثیر می‌گذارد:

• 16.1 , 16.2 ,16.3 ,16.4 ,16.5 ,16.6 ,16.7

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت GitLab خود را به نسخه‌های 16.1.6, 16.2.9, 16.3.7, 16.4.5, 16.5.6, 16.6.4, یا  16.7.2 به‌روزرسانی کنند. جهت کاهش هرگونه تهدید، توصیه می‌شود 2FA را فعال کنید، به‌ویژه برای کاربرانی که سطح دسترسی بالاتری دارند.

منبع خبر:

https://thehackernews.com/2024/01/urgent-gitlab-releases-patch-for.html 

یک آسیب‌پذیری با شناسه CVE-2023-52288 در بستهflaskcode  شناسایی شده است که امکان پیمایش دایرکتوری از طریق ارسال درخواست GET به /resource-data/<file_path>.txt URI (from views.py) را برای مهاجم احراز هویت نشده فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند فایل دلخواه خود را بخواند.
آسیب‌پذیری دیگری نیز با شناسه CVE-2023-52289 8.4 در بسته flaskcode   شناسایی شده است که امکان پیمایش دایرکتوری از طریق ارسال درخواست POST به /update-resource-data/<file_path> URI (from views.py) را برای مهاجم احراز هویت نشده فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند در فایل‌ دلخواه خود بنویسد.

محصولات تحت تأثیر
این آسیب‌پذیری در Python، بسته flaskcode  نسخه 0.0.8 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
پایتون هنوز وصله‌ایی برای بسته flaskcode  منتشر نکرده است. به کاربران توصیه می‌شود به محض انتشار راهکار و وصله امنیتی در اسرع وقت نسبت به ارتقاء flaskcode package به آخرین نسخه‌ی ‌منتشرشده اقدام نمایند. 

منبع خبر:

https://gitlab.com/daniele_m/cve-list/-/blob/main/README.md

شرکت مایکروسافت در تاریخ 9 ژانویه 2023 پایان پشتیبانی از محصول Microsoft Exchange Server 2019 که بر روی سرورهای محلی (On-Premises) نصب می‌شود را اعلام کرد. مایکروسافت اعلام کرده است که از این تاریخ به بعد درخواست‌های مربوط به رفع نقص‌های امنیتی و درخواست‌های تغییر طراحی را نخواهد پذیرفت، اما همچنان به‌روزرسانی‌های امنیتی جهت رفع آخرین مشکلات امنیتی کشف‌شده را منتشر کرده و در اختیار کاربران این محصول قرار می‌دهد. بنابه گفته مدیر بازاریابی محصولات Microsoft Exchange: " Exchange Server 2019 در دوره پشتیبانی گسترده قرار دارد. دو به‌روزرسانی دیگر برای Exchange Server 2019  وجود دارد و در مراحل نهایی آزمون و اعتبارسنجی است و هنگامی که این فرآیند به پایان برسد، منتشر خواهد شد."
اگرچه مایکروسافت تاکنون راهنمایی و راهکارهایی در خصوص پایان کار Exchange 2019 ارائه نداده و هنوز نسخه جدیدی از Exchange Server برای محیط‌های محلی منتشر نکرده است؛ اما به زودی جزئیات بیشتری از آینده این نرم‌افزار منتشر خواهد شد. البته Exchange Server 2016 نیز پس از رسیدن به تاریخ پایان به‌روزرسانی‌های اصلی خود در اکتبر 2020، تا اکتبر 2025 تحت پشتیبانی گسترده است.

توصیه امنیتی:
توصیه می‌شود کاربران این محصولات، یا به  Exchange Server 2019 (تا مه ۲۰۲۵) مهاجرت و یا از راهنمایی‌ها و آموزش‌های مربوط به مهاجرت به Microsoft 365 که شرکت مایکروسافت در سایت مستندات خود ارائه داده استفاده کننده، همچنین راهنمایی‌هایی برای مدیران جهت تصمیم‌گیری در مسیر مهاجرت به Exchange Online ارائه شده است.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-2019-has-reached-end-of-mainstre…
[2]https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-2019-what-s-coming-in-cu1…

محققان امنیتی موفق به کشف یک آسیب‌پذیری حیاتی با شناسه CVE-2024-21650 و شدت 10.0 در پلتفرم xwiki شده‌اند. xwiki یک پلتفرم ویکی متن باز عمومی است که سرویس‌های زمان اجرا را برای برنامه‌ها ارائه می‌کند. آسیب‌پذیری کشف شده به مهاجم اجازه می‌دهد تا کد دلخواه را با ایجاد اطلاعات مخرب در قسمت‌های "نام" یا "نام خانوادگی" در هنگام ثبت نام کاربر اجرا کند. این آسیب‌پذیری به صورت تزریق کد جاوا به فیلدهایی که توسط موتور xwiki پشتیبانی می‌شود، کار می‌کند و روی تمام نسخه‌های در حال اجرایی که ثبت کاربر برای کاربران مهمان فعال است، برای مهاجم قابل بهره‌برداری است. مهاجم می‌تواند از متغیر $services برای دسترسی به مؤلفه‌های مختلف پلتفرم XWiki استفاده کند، نمونه آن، مؤلفه Execution است که امکان اجرای اسکریپت‌ را در زبان‌های مختلف فراهم می‌کند و لذا خطرات امنیتی قابل توجهی دارد.
به عنوان نمونه، می‌توان به عنوان "نام" کاربر، اطلاعاتی را در هنگام ثبت نام وارد کرد. این موضوع باعث می‌شود که سرور XWiki، پیام خطایی با محتوای "ERROR" برگرداند. در این شرایط، مهاجم می‌تواند کد Groovy دلخواه را روی سرور اجرا کند.
 

در مثال بعدی، کد مخرب را می‌توان به عنوان "نام خانوادگی" یک کاربر در هنگام ثبت نام وارد کرد. این ورود اطلاعات، باعث می‌شود سرور XWiki کد Groovy را با عنوان "Xwiki RCE" و بدنه "شما هک شده‌اید" اجرا کند. این موضوع نشان می‌دهد که مهاجم می‌تواند به خدمات XWiki دسترسی داشته باشد و اقدامات مخرب انجام دهد.
 

محصولات تحت تأثیر
نسخه‌ 2.2  این پلتفرم تحت تأثیر این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود برای رفع آسیب‌پذیری مذکور، xwiki را به نسخه‌های وصله شده زیر ارتقاء دهند:
•     14.10.17
•    15.5.3
•     15.8RC1

منابع خبر:

[1] https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-rj7p-xjv7-7229
[2] https://jira.xwiki.org/browse/XWIKI-21173
[3]https://github.com/xwiki/xwikiplatform/commit/b290bfd573c6f7db6cc15a88dd4111d9fcad0d31

محققان امنیت سایبری، شش آسیب‌پذیری را به فهرست آسیب‌پذیری‌های مورد بهره‌برداری شناخته‌شده اضافه کرده‌اند که محصولات Apple، Adobe، Apache، D-Link و Joomla را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری‌ها به صورت زیر گزارش شده‌اند:
•    CVE-2023-27524: این آسیب‌پذیری با شدت بحرانی (8.9) در محصول Apache Superset، زمانی که پیکربندی پیش‌فرض SECRET_KEY تغییر نکرده باشد می‌تواند به مهاجم اجازه ‌دهد تا احراز هویت کرده و به منابع غیرمجاز دسترسی پیدا کند.
•    CVE-2023-23752: در این آسیب‌پذیری به دلیل عدم بررسی درست دسترسی‌ها در Joomla، مهاجمان می‌توانند به نقاط پایانی (endpoints) سرویس وب دسترسی غیرمجاز پیدا کنند.
•    CVE-2023-41990: این نقص در Apple iOS 16.2 و قدیمی تر  به مهاجمان اجازه می دهد تا با ارسال یک فایل آلوده به عنوان پیوست  iMessage، کد دلخواه خود را در دستگاه های iPhone اجرا کنند. شدت این آسیب‌پذیری بالا (7.8) گزارش شده است.
•    CVE-2023-38203  و CVE-2023-29300: این دو آسیب‌پذیری با شدت بحرانی (9.8) در Adobe ColdFusion به مهاجمان اجازه می‌دهند تا با ارسال داده‌های نامعتبر به سرورهای ColdFusion، کد دلخواه خود را اجرا کنند.
•    CVE-2016-20017: این نقص با شدت بحرانی (9.8) در D-Link DSL-2750B به مهاجمان اجازه می‌دهد تا با ارسال دستورات از راه دور، کنترل دستگاه‌های آسیب‌دیده را در دست بگیرند.

محصولات تحت تأثیر

توصیه‌های امنیتی
به‌روزرسانی‌های امنیتی موجود یا اقدامات کاهشی را برای محصولات تحت تأثیر اعمال کنید.

منبع خبر:

https://www.bleepingcomputer.com/news/security/cisa-warns-agencies-of-fourth-flaw-used-in-triangula…

به تازگی محققان امنیتی موفق به کشف یک آسیب‌پذیری بحرانی به شناسه CVE-2024-21663 و شدت CVSS=9.9 در Discord-Recon bot شده‌اند. این بات توسط محققان تست نفوذ در حوزه‌ی ارزیابی و کشف آسیبب‌پذیری‌‌های مربوط به برنامه‌های کاربردی وب مورد استفاده قرار می‌گیرد. در حقیقت از این بات در مرحله reconnaissance استفاده می‌شود تا بتوانند مراحل پویش و جمع‌آوری اطلاعات را به صورت خودکار انجام دهند. مهاجمان با بهره‌برداری از این آسیب‌پذیری می‌توانند دستورات سیستمی خود را از راه دور بر روی سرور اجرا کنند. به عبارت بهتر، مهاجمان قادر به پیاده‌سازی حمله RCE هستند. در فرآیند این حمله، مهاجم نیازی به داشتن سطح دسترسی ادمین بر روی سرور قربانی ندارد. دلیل به وجود آمدن این آسیب‌پذیری آن است که هیچ گونه ارزیابی و صحت‌سنجی بر روی ورودی دریافت شده از کاربر در دستور prips در این بات صورت نمی‌گیرد. این موارد به مهاجم امکان می‌دهد تا با استفاده از ";" در مقدار ورودی خود بعد از مقدار اصلی قادر به اجرای دستورات سیستمی باشد. در این بات از دستور prips برای ایجاد IP از رنج IP هدف مورد نظر استفاده می‌شود. در ادامه مراحل مربوط به اجرای این آسیب‌پذیری آورده شده است.
•    مهاجم با اجرای دستور زیر در این بات می‌تواند از این آسیب‌پذیری بهره برداری کند.

prips 74.125.227.0/29;ls

•    با اجرای این دستور مهاجم قادر است خروجی دستور ls را نیز دریافت کند.

همانطور که در تصویر زیر مشخص است، دستور دوم (ls) که توسط مهاجم وارد شده است، بدون هیچ‌گونه ارزیابی از طریق دستور prips به subprocess و تابع Popen ارسال می‌گردد. و این در حالی است که این تابع قابلیت اجرای دستورات سیستمی را دارد.
 

محصولات آسیب‌پذیر
تمام کاربرانی که از نسخه های قبل تر از 0.0.8 و نسخه 0.0.8-beta این بات استفاده می‌کنند در معرض این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به گفته تیم امنیتی، لازم است کاربران، نسخه مورد استفاده خود را به نسخه 0.0.8 به‌روزرسانی کنند.
 

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-21663
[2] https://www.cve.org/CVERecord?id=CVE-2024-21663
[3]https://github.com/DEMON1A/Discord-Recon/commit/f9cb0f67177f5e2f1022295ca8e641e47837ec7a

در اصلاحیه امنیتی 9 ژانویه 2024، مایکروسافت 49 آسیب‌پذیری را وصله کرده است. از بین این آسیب‌پذیری‌ها، 2 مورد با شدت بالا و 47 مورد با شدت متوسط ارزیابی شده‌اند. طبق گزارش مایکروسافت برای دومین ماه متوالی، در به‌روزرسانی ماهانه هیچ آسیب‌پذیری روز صفری که از آن بهره‌برداری شده یا به‌صورت عمومی منتشر شده باشد، وجود ندارد. البته این لیست شامل 4 آسیب‌پذیری Microsoft Edge  که 5 ژانویه 2024 رفع شده بود نیست که در برخی منابع این آسیب‌پذیری‌ها را نیز جزئی از به‌روزرسانی‌های ماه ژانویه مایکروسافت قلمداد کرده‌اند.
این 49 نقص شامل آسیب‌پذیری‌های زیر بوده‌اند:
•    10 مورد Elevation of Privilege
•    12 مورد Remote Code Execution
•    11 مورد Information Disclosure
•    7 موردSecurity Feature Bypass
•    6 مورد Denial of Service
•    3 مورد Spoofing
دو آسیب‌پذیری گزارش شده با شدت بالا عبارتند از:
•    آسیب‌پذیری Security Feature Bypass در متدهای احراز هویت ویندوز درWindows Kerberos  با شناسه CVE-2024-20674 و شدت 8.8
•    آسیب‌پذیری اجرای کد از راه دور در ویندوز Hyper-V با شناسه CVE-2024-20700  و شدت 7.5

محصولات تحت تأثیر
محصولات زیر تحت تأثیر آسیب‌پذیری‌های ذکر شده قرار دارند:

•    .NET and Visual Studio
•    .NET Core & Visual Studio
•    .NET Framework
•    Azure Storage Mover
•    Microsoft Bluetooth Driver
•    Microsoft Devices
•    Microsoft Identity Services
•    Microsoft Office
•    Microsoft Office SharePoint
•    Microsoft Virtual Hard Drive
•    Remote Desktop Client
•    SQL Server
•    Unified Extensible Firmware Interface
•    Visual Studio
•    Windows AllJoyn API
•    Windows Authentication Methods
•    Windows BitLocker
•    Windows Cloud Files Mini Filter Driver
•    Windows Collaborative Translation Framework
•    Windows Common Log File System Driver
•    Windows Cryptographic Services
•    Windows Group Policy
•    Windows Hyper-V
•    Windows Kernel
•    Windows Kernel-Mode Drivers
•    Windows Libarchive
•    Windows Local Security Authority Subsystem Service (LSASS)
•    Windows Message Queuing
•    Windows Nearby Sharing
•    Windows ODBC Driver
•    Windows Online Certificate Status Protocol (OCSP) SnapIn
•    Windows Scripting
•    Windows Server Key Distribution Service
•    Windows Subsystem for Linux
•    Windows TCP/IP
•    Windows Themes
•    Windows Win32 Kernel Subsystem
•    Windows Win32K

توصیه‌های امنیتی
شرکت مایکروسافت به کاربران خود توصیه کرده است که به‌روزرسانی محصولات تحت تأثیر را در اسرع وقت انجام دهند.

منابع خبر:

[1] https://msrc.microsoft.com/update-guide/en-us
[2] https://www.tenable.com/blog/microsofts-january-2024-patch-tuesday-addresses-48-cves-cve-2024-20674
[3] https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2024-patch-tuesday-fixes-49-flaws…

یک ابزار جدید هک مبتنی‌بر ‌پایتون به‌نام FBot کشف شده‌است که سرورهای وب، سرویس‌های ابری، سیستم‌های مدیریت محتوا (CMS) و پلتفرم‌های SaaS مانند سرویس‌های وب آمازون (AWS)، مایکروسافت 365، پی‌پال، Sendgrid و Twilio را مورد هدف قرار می‌دهد.

 
FBot جدیدترین ابزار اضافه شده به لیست ابزارهای هک ابری مانند AlienFox، GreenBot  (که به عنوان Maintance شناخته می‌شود)، Legion و Predator می‌باشد. گفتنی است که چهار ابزار GreenBot، AlienFox، Legion و Predator  شباهت‌هایی در سطح کد با AndroxGh0st دارند. هدف ‌نهایی این ابزار ربودن سرویس‌های ابری، SaaS و وب و همچنین جمع‌آوری اعتبار جهت دستیابی به دسترسی اولیه و کسب‌ درآمد از این طریق با فروش دسترسی به سایرین است. Fbot دارای ویژگی‌های مختلفی از جمله تولید کلیدهای API برای AWS و SendGrid است. علاوه بر این، می‌تواند کارهایی مانند تولید آدرس‌های IP تصادفی، اجرای اسکنرهای IP معکوس و اعتبارسنجی حساب‌های PayPal به همراه آدرس‌های ایمیل مرتبط آن‌ها را انجام‌دهد. به نظر می‌رسد این ابزار چند منظوره دارای قابلیت‌های مرتبط با تولید کلید API، دستکاری آدرس IP و اعتبارسنجی حساب می‌باشد.
FBot ویژگی‌های خاص AWS را برای بررسی جزئیات پیکربندی ایمیل سرویس ایمیل ساده AWS (Simple Email Service) و ارزیابی سهمیه‌های سرویس EC2 حساب مورد نظر در خود جای داده‌است. علاوه‌بر این، عملکرد مربوط به Twilio برای بازیابی جزئیات حساب مانند موجودی، ارز و شماره تلفن‌های متصل استفاده می‌شود. این بدافزار همچنین قادر به استخراج اعتبار از فایل‌های محیط لاراول است.

منبع خبر:

https://thehackernews.com/2024/01/new-python-based-fbot-hacking-toolkit.html&nbsp;

یک آسیب‌پذیری با شدت بالا در رابط تحت‌وب ابزار Cacti کشف شده که دسترسی کامل به پایگاه داده آن را فراهم می‌کند. این آسیب‌پذیری با شناسه CVE-2023-51448 و شدت 8.8 از نوع تزریق کد SQL می‌باشد. ابزار Cacti برای جمع‌آوری اطلاعات مربوط به عملکرد شبکه از جمله پهنای باند، مصرف پردازنده، حافظه و غیره مورد استفاده قرار می‌گیرد و استفاده گسترده از آن در سازمان‌های مختلف می‌تواند فرصت جدی برای مهاجمان جهت انجام حملات سایبری فراهم کند. پیدا کردن سیستم‌های آسیب‌پذیر از طریق موتورهای جستجوی اینترنت اشیاء به راحتی قابل انجام است. پیش از این نیز یک آسیبپذیری بحرانی اجرای کد از راه دور با شناسه CVE-2022-46169 در این نرم‌افزار کشف شده بود که کد بهره‌برداری از آن به صورت عمومی در دسترس قرار دارد.
آسیب‌پذیری مذکور از نوع Blind SQL Injection (SQLi) بوده و در ویژگی SNMP Notification Receivers تابع form_actions در فایل managers.php وجود دارد. مهاجم پس از احراز هویت دارای دسترسی Settings/Utilities می‌باشد و می‌تواند با ارسال یک درخواست HTTP GET به مسیر /cacti/managers.php به همراه یک Payload SQLi در پارامتر GET به نام selected_graphs_array از آن بهره‌برداری نماید. بسته به نوع پیکربندی پایگاه داده، این آسیب‌پذیری ممکن است امکان خواندن یا نوشتن فایل‌های دلخواه و اجرای کد از راه دور را نیز فراهم نماید.

نسخه‌های تحت تاثیر
این آسیب‌پذیری در نسخه 1.2.25 نرم‌افزار Cacti وجود دارد.

توصیه‌های امنیتی
نسخه 1.2.26 جهت رفع آسیب‌پذیری CVE-2023-51448 منتشر شده است. این آسیب‌پذیری در صورت ترکیب با آسیب‌پذیری CVE-2023-49084 امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند. بنابراین توصیه می‌شود در اسرع وقت نسبت به نصب آخرین نسخه اقدام نمایید.

منابع خبر:

[1]https://www.darkreading.com/vulnerabilities-threats/cacti-monitoring-tool-critical-sql-injection-vu…
[2]https://nvd.nist.gov/vuln/detail/CVE-2023-51448
 

Splunk Enterprise Security (ES) یک نرم‌افزار جهت امنیت اطلاعات و مدیریت رویداد (SIEM) می‌باشد که توسط Splunk Inc ارائه شده‌است. Splunk یک پلتفرم نرم‌افزاری است که جهت جستجو، نظارت و تجزیه و تحلیل داده‌های تولیدشده توسط ماشین طراحی شده‌است. Splunk Enterprise Security قابلیت‌های‌ پلتفرم Splunk را گسترش می‌دهد تا به‌طور خاص بر روی داده‌ها و رویدادهای مرتبط با امنیت تمرکزکند.
دو آسیب‌پذیری با شناسه‌های CVE-2024-22165 و CVE-2024-22164 و به ترتیب شدت‌های متوسط 6.5 و4.3 برای این نرم‌افزار کشف شده که جزئیات آن‌ها به شرح ذیل می‌باشد.
آسیب‌پذیری CVE-2024-22165 مربوط نسخه‌های قبل از 7.1.2 Splunk Enterprise Security (ES) می‌باشد که در آن مهاجم می‌تواند از پیوست‌های Investigation جهت اجرای یک حمله انکار سرویس (DoS) در Investigation بهره‌برداری کند. 
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H) بهره‌برداری از طریق شبکه مجاور امکان‌پذیر نیست (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین دارد (PR:L)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از آن بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرد.
آسیب‌پذیری CVE-2024-22164 مربوط نسخه‌های قبل از 7.1.2 Splunk Enterprise Security (ES) می‌‌باشد که در آن مهاجم با یکsession  و دسترسی تأیید‌شده می‌تواند یکInvestigation  نادرست برای اجرای حمله انکار سرویس (DoS) ایجاد کند. این Investigation  نادرست، تولید و ارائهInvestigations manager  را تا زمانی که حذف نشود، مختل می‌کند.
بر اساس بردار حمله این آسیب‌پذیری(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L) بهره‌برداری از طریق شبکه مجاور امکان‌پذیر نیست (AV: N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین دارد (PR:L)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت کمی تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
تمام نسخه‌های نرم‌افزار  Splunk Enterprise Security تا قبل از نسخه 7.1.2 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
نرم‌افزار  Splunk Enterprise Security (ES) را به نسخه های 7.1.2، 7.2.0، 7.3.0 یا بالاتر ارتقا دهید.

منابع خبر:

[1] https://advisory.splunk.com/advisories/SVD-2024-0101&nbsp;
[2] https://advisory.splunk.com/advisories/SVD-2024-0101&nbsp;