به تازگی یک آسیبپذیری با شناسه CVE-2024-25016 و شدت بالا (7.5) در محصولات IBM MQ و IBM MQ Appliance کشف شده است. این نقص به دلیل منطق نادرست بافر، میتواند به یک مهاجم احرازهویت نشده اجازه دهد تا از راه دور حمله انکار سرویس یا Dos را انجام دهد.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و به راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی بالا یا پایین ندارد (PR: N)، به تعامل با کاربر نیز نیاز ندارد (UI: N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و با بهرهبرداری از آن، یک ضلع از سه ضلع امنیت را با شدت زیاد تحت تأثیر قرار میگیرد.
محصولات تحتتأثیر و توصیههای امنیتی
در جدول زیر نسخههای تحتتأثیر این آسیبپذیری به همراه نسخههای وصلهشده آمده است. به کاربران توصیه میشود بهروزرسانیهای منتشرشده را اعمال کنند.
|
نسخه وصلهشده |
نسخه تحت تاثیر |
محصولات آسیبپذیر |
|
9.0.0.23 |
9.0 LTS |
IBM MQ |
|
9.1.0.20 |
9.1 LTS |
IBM MQ |
|
9.2.0.22 |
9.2 LTS |
IBM MQ |
|
9.3.0.16 |
9.3 LTS |
IBM MQ |
|
9.3.5 CD |
9.3 CD |
IBM MQ |
منبع خبر:
https://nvd.nist.gov/vuln/detail/CVE-2024-25016
- 43