افزونه ذخیرهسازی Hitachi ، اتصال بین Docker، Kubernetes، یا Kubernetes CSI و پلتفرمهای ذخیرهسازی مجازی (VSP)Hitachi را فراهم میکند. این افزونه یکپارچگی را تضمین میکند و جهت بهبود هماهنگی و مدیریت یکپارچه منابع ذخیرهسازی در محیطهای مجازی طراحی شده است. آسیبپذیری با شناسه CVE-2024-21840 با شدت بالا (7.9) برای این افزونه کشف شده که به شرح ذیل میباشد.
طبق بررسیهای انجامشده، افزونه ذخیرهسازی Hitachi برای VMware vCenter در برابر نقص مجوزهای پیش فرض نادرست یا (Incorrect Default Permissions) آسیبپذیر است. کاربران یا مهاجمان با دسترسی محلی میتوانند از این آسیبپذیری برای دسترسی غیرمجاز خواندن و نوشتن به فایلهای خاص بهرهبرداری کنند.
بر اساس بردار حمله این آسیبپذیری(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L) بهرهبرداری از طریق شبکه محلی امکانپذیر است (AV:L)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی بالا ندارد (PR:L)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)و با بهرهبرداری از این آسیبپذیری، یک ضلع از سه ضلع امنیت با شدت زیاد و دو ضلع دیگر را با شدت پایین تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
نسخه 4.0.0 تا 4.9.2 تحت تأثیر این نقص امنیتی قراردارند.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت افزونه Hitachi را به نسخه 4.10.0 یا بالاتر بهروزرسانی کنند.
منبع خبر:
- 54