یک آسیبپذیری با شناسه CVE-2024-2370 و شدت 9.8 (بحرانی) در نرمافزار ManageEngine Desktop Central شناسایی شده است. این آسیبپذیری یک نقص آپلود فایل به تعداد نامحدود است که میتواند از راه دور مهاجم را قادر سازد تا بدون هیچ مجوزی، یک فایل مخرب را برروی سیستم آپلود کند. از آنجایی که بیش از 5 سال از تاریخ منقضی شدن نسخه تحت تأثیر این آسیبپذیری میگذرد، این نقص امنیتی در نسخههای جدیدتر این محصول برطرف شده است.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهرهبرداری از این آسیبپذیری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N). سوءاستفاده از این آسیبپذیری نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز ندارد(UI:N). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U). با سوءاستفاده از این آسیبپذیری، هر سه ضلع امنیت با شدت بالا تحت تاثیر قرار میگیرند. (C:H/I:H/A:H)
محصولات تحت تأثیر
سری ساخت 90055 از نسخه 9 نرمافزار ManageEngine Desktop Central که جهت مدیریت سیستمهای دسکتاپ، لپ تاپها، سرورها، موبایلها و تبلتها از یک محل مرکزی استفاده میشود، تحتتاثیر آسیبپذیری مذکور قرار دارد.
توصیههای امنیتی
توصیه میشود نرمافزار به نسخههای بالاتر از نسخه آسیبپذیر ذکر شده، بهروزرسانی شود.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-2370
[2] https://www.incibe.es/en/incibe-cert/notices/aviso/unrestricted-file-upload-vulnerability-manageeng…
- 67