Thales SafeNet Authentication Client نرمافزاری برای احراز هویت ایمن است که معمولاً برای دسترسی به سیستمها یا اطلاعات حساس استفاده میشود.
دو آسیبپذیری با شناسههای CVE-2023-5993 و CVE-2023-7016 و شدت بالا (7.8) در این نرمافزار کشف شده است. مهاجم با بهرهبرداری از نقص CVE-2023-5993 در Windows Installer این نرمافزار، میتواند سطح دسترسی خود را از طریق دسترسی محلی افزایش دهد. همچنین با بهرهبرداری از نقص CVE-2023-7016 مهاجمی که به رایانه آسیبدیده دسترسی (دسترسی محلی) دارد میتواند کد دلخواه خود را اجرا کند.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) بهرهبرداری از طریق شبکه محلی امکانپذیر است (AV: L)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L) مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی بالا یا پایین ندارد (PR: N)، به تعامل با کاربر نیز نیاز دارد (UI: R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین)، با بهرهبرداری از این آسیبپذیری، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
نسخههای قبل از نسخه 10.8 R10 در برابر نقص امنیتی مذکور آسیبپذیر هستند.
توصیههای امنیتی
به کاربران توصیه میشود نرمافزار خود را به نسخه 10.8 R10 یا بالاتر بهروزرسانی کنند.
منبع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2023-7016
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-5993
- 55