به تازگی یک نقص امنیتی با شناسه CVE-2023-38536 و شدت متوسط(6.4) در نرمافزار OpenText Exceed Turbo کشف شده است که درصورت بهرهبرداری توسط یک مهاجم، منجر به تزریق HTML در این برنامه و اجرای حمله Cross site scripting میشود.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:H) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر میباشد (AV:N) و نیازمند هیچ پیشزمینهای نبوده، همچنین بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، مهاجم برای انجام حمله به حساب کاربری با سطح دسترسی بالا و تعامل با کاربر نیاز دارد (PR: N)(UI: R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و دو ضلع از سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرد.
محصولات تحت تأثیر
نسخه 12.5.1 این نرمافزار تحت تأثیر نقص امنیتی مذکور است.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت OpenText Exceed Turbo را به آخرین نسخه بهروزرسانی کنند.
منبع خبر:
- 29