یک آسیبپذیری بحرانی با شناسه CVE-2024-12583 و شدت 9.9 در افزونهی Dynamics 365 Integration شناسایی شده است. این نقص امنیتی امکان تزریق قالب در سمت سرور را برای مهاجم فراهم میکند، که میتواند ورودیهای مخرب خود را به موتور قالبسازی Twig ارسال کند. این ورودیها در سمت سرور پردازش شده و منجر به اجرای دستورات مخرب، افشای اطلاعات حساس یا دسترسی غیرمجاز به سیستم میشوند. این آسیبپذیری بهدلیل عدم اعتبارسنجی مناسب ورودی در تابع render موتور قالبسازی Twig ایجاد شدهاست. مهاجم میتواند از طریق تزریق یک ورودی مخرب شامل دستورات خاص به موتور قالبسازی ذکر شده در سمت سرور، اقدام به اجرای کد دلخواه روی سرور یا خواندن فایلهای حساس کنند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، به راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین میباشد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
تمام نسخههای افزونه تا نسخه 1.3.23 تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیههای امنیتی
به کاربران توصیه میشود جهت رفع این نقص امنیتی در اسرع وقت نسخههای آسیبپذیر را به بالاترین نسخه به روزرسانی کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-12583
[2]https://www.cve.org/CVERecord?id=CVE-2024-12583
[3]https://www.wordfence.com/threat-intel/vulnerabilities/id/7f3dac5a-9ff8-4e8c-8c73-422123e121d8?sour…
- 128