Loomio ابزاری جهت بحث و تصمیمگیری است که در سازمانهای مشارکتی مورد استفاده قرار میگیرد. یک آسیبپذیری تزریق دستور سیستمعامل یا OS Command Injection با شناسه CVE-2024-1297 و شدت بحرانی (10) در این ابزار شناسایی شده است و مهاجم با بهرهبرداری از این نقص میتواند دستورات دلخواه را بر روی سرور هدف اجرا کند.
بر اساس بردار حمله این آسیبپذیری(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی بالا یا پایین ندارد (PR: N)، به تعامل با کاربر نیز نیاز دارد (UI:R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S: C) و با بهرهبرداری از این آسیبپذیری، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرد.
محصولات تحتتأثیر
نسخه 2.22.0 از ابزار Loomio تحتتأثیر این آسیبپذیری قرار دارد.
منبع خبر:
- 27