یک آسیبپذیری با شناسه CVE-2024-22045 و شدت بالا (7.6) در SINEMA Remote Connect Client کشف شده است. این آسیبپذیری یک نقص افشای اطلاعات یا information disclosure vulnerability است به صورتی که این نرمافزار به اشتباه اطلاعات حساس را در فایلها یا دایرکتوریهایی قرار میدهد که برای کاربران خاصی که نباید به چنین دادههایی دسترسی داشته باشند، قابل دسترسی است. علاوه بر این، این اطلاعات حساس از طریق رابط وب محصول نیز قابل دسترسی است.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N) بهرهبرداری از این آسیبپذیری از طریق شبکه محلی امکانپذیر میباشد (AV:N)، سوءاستفاده از این آسیبپذیری نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز ندارد(AC:L) ، مهاجم برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز ندارد (PR: L)، به تعامل با کاربر نیز نیاز دارد (UI: R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و با بهرهبرداری از این آسیبپذیری، یک ضلع از سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
همه نسخههای قبل از نسخه V3.1 SP1 تحت تأثیر این نقص امنیتی قرار دارند.
توصیههای امنیتی
توصیه میشود به نسخه V3.1 SP1 یا بالاتر بهروزرسانی کنید.
منبع خبر:
- 33