کشف آسیب‌پذیری در Adive Framework

کشف آسیب‌پذیری در Adive Framework

تاریخ ایجاد

به تازگی دو آسیب‌پذیری با شناسه‌های CVE-2024-4337 و CVE-2024-4336 با شدت بالا (7.6) در Adive Framework کشف شده است. در این نقص امنیتی، Adive Framework ورودی‌های وارد شده توسط کاربر را به درستی رمزگذاری نمی‌کند، که منجر به آسیب‌پذیری Cross-Site Scripting (XSS) از طریق /adive/admin/tables/add در چندین پارامتر می‌شود. یک مهاجم با بهره‌برداری از این نقص می‌تواند جزئیات session یک کاربر احراز هویت شده را بازیابی کند.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و یک ضلع از سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرد (C:H/I:L/A:L).

محصولات تحت تأثیر
این آسیب‌پذیری نسخه Adive Framework 2.0.8 را تحت تأثیر قرار می‌دهد.

منبع خبر:


https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-adive-framework