یک آسیبپذیری با شناسه CVE-2023-49950 و شدت 6.1 (متوسط) در SIEM شرکت Logpoint شناسایی شدهاست که منجر به آسیبپذیری Cross-Site Scripting (XSS) میشود به طوری که گزارش دادهها حین استفاده از Jinja template، در عملکرد Alert به شکل صحیح بررسی و تصحیح نمیشوند. مهاجم میتواند از راهدور در هر دستگاهی که گزارش داده (log)ها را به SIEM ارسال میکند کدنویسی بینسایتی (XSS) انجام دهد. اگر عملکرد alert در سیستم کاربر رخ دهد و کاربر سیستم Logpoint، پنجره alert را مشاهده کند، گزاره کد نوشته شده در محتوای نمایش داده شده به کاربر، اجرا میشود که میتواند تا عمق چاپ اطلاعات حساس سایت همچون کوکیها و غیره پیشروی کند. بر اساس بردار حمله این آسیبپذیری (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد(UI:R). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار است (S:C). با بهرهبرداری از این آسیبپذیری، دو ضلع از سه ضلع امنیت با شدت کمی تحت تاثیر قرار میگیرند. (C:L/I:L/A:N)
محصولات تحت تأثیر
نسخههای 6.10.0 تا 7.x قبل از 7.2.4 برنامه SIEM شرکت Logpoint تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
اعمال بهروزرسانی به نسخههای 7.3.0 و بعدتر برنامه SIEM موجب خنثی نمودن این آسیبپذیری خواهد شد.
منابع خبر:
[1] https://www.tenable.com/cve/CVE-2023-49950
[2] https://vuldb.com/?id.252797
- 35