دو آسیبپذیری با شدتهای ۸.۸ و ۷.۲ در alf.io که یک سیستم رزور بلیط منبع باز است به شماره شناسههای CVE-2024-25635 و CVE-2024-25634 کشف شده است. به موجب این آسیبپذیریها مهاجم میتواند کلید API تولیدی کاربران سازمان را با استفاده از مسیر زیر http://192.168.26.128:8080/admin/api/users/<user_id> مشاهده کند که جزئیات شناسهی کاربر را نشان میدهد. این موضوع ممکن است کلید API در نام کاربری کاربر را نیز نشان دهد و مهاجم میتواند به دادههای سایر کاربران دسترسی پیدا کرده و با استفاده از یک درخواست جعلی، گزارش ایمیل ارسالی توسط رویدادهای دیگر را دریافت کند.
محصولات تحتتأثیر
نسخههای قبل از Mr-2402-2.0 در معرض این آسیبپذیری قرار دارند.
توصیههای امنیتی
بهروزرسانی به نسخه Mr-2402-2.0 این نقص امنیتی را رفع میکند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-25635
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-25634
- 32