کشف 4 آسیب‌پذیری در نرم‌افزار LaborOfficeFree

به تازگی 4 آسیب‌پذیری با شدت متوسط در نسخه 19.10  نرم‌افزار  LaborOfficeFree  با شناسه‌های زیر کشف شده است:
•    CVE-2024-1343 : این آسیب‌پذیری مربوط به یک مجوز ضعیف دسترسی در دایرکتوری پشتیبان‌ در LaborOfficeFree است. این آسیب‌پذیری امکان خواندن فایل‌های پشتیبان در دایرکتوری '%programfiles(x86)% LaborOfficeFree BackUp' را برای هر کاربر احراز هویت شده فراهم می‌کند.
•    CVE-2024-1344 : این مورد، یک نقص امنیتی است که اعتبار پایگاه‌داده رمزنگاری شده در LaborOfficeFree  را تحت تأثیر قرار می‌هد. این آسیب‌پذیری به یک مهاجم امکان می‌دهد که نام کاربری و رمز عبور را از پایگاه‌داده‌های 'LOF_service.exe' و 'LaborOfficeFree.exe' که در دایرکتوری '%programfiles(x86)%\LaborOfficeFree' قرار دارند، بخواند و استخراج کند. مهاجم می‌تواند از راه دور وارد شود و دسترسی‌هایی شبیه به دسترسی‌های root داشته باشد.
•    CVE-2024-1345 : این آسیب‌پذیری به دلیل رمز عبور ضعیف root در پایگاه داده MySQL است که به واسطه آن مهاجم می‌تواند با استفاده از یک حمله brute force به راحتی رمز عبور root را کشف کند.
•    CVE-2024-1346 : این نقص هم به دلیل رمز عبور ضعیف root در پایگاه‌داده MySQL، به مهاجم اجازه می‌دهد که با استفاده از دو مقدار ثابت، رمز عبور root پایگاه داده را بدست آورد.
 

محصولات تحت تأثیر
 نسخه 19.10  نرم‌افزار  LaborOfficeFree  تحت تأثیر این آسیب‌پذیری قرار دارد.
 

منبع خبر:

https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-laborofficefree