یک آسیبپذیری با شناسه CVE-2024-41766 و شدت ۷.۵ (بالا) در محصول IBM Engineering Lifecycle Optimization شناسایی شده است. این نقص امنیتی به مهاجم از راه دور اجازه میدهد تا با بهرهبرداری از یک عبارت با قاعده منظم و البته پیچیده، یک حمله منع سرویس(Denial of Service) را اجرا کند. این آسیبپذیری با CWE-1333 به وضعیتی اشاره دارد که مهاجم میتواند با ارسال یک درخواست خاص، نرم افزار را متوقف کند و یا عملکرد آن را ضعیف کند. در نهایت خدمات ارائه شده توسط نرمافزار مختل میشود. این آسیبپذیری در ماژول پردازش نرمافزار، باعث میشود که در صورت پردازش یک عبارت خاص، نرمافزار به یک حلقه بینهایت وارد شده یا کاربر از منابع سیستم به شدت بهرهبرداری کند.
براساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H بهرهبرداری از این آسیبپذیری ازطریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز ندارد (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست و به تعامل با کاربر نیاز نیست (PR:N /UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، با بهرهبرداری از این نقص امنیتی دو ضلع از سه ضلع امنیت به میزان بسیار بالایی تحت تأثیر قرار میگیرند (C:N/I:N/A:H).
محصولات آسیبپذیر
این آسیبپذیری نسخههای 7.0.2 و 7.0.3 را تحت تاثیر قرار داده است.
توصیه امنیتی
به کاربران توصیه میشود که نرم افزار را به آخرین نسخه به روزرسانی کنند، دسترسی را محدود و بر ترافیک شبکه نظارت داشته باشند و در نهایت از سیستم تشخیص نفوذ جهت جلوگیری از این آسیبپذیری استفاده کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-41766
[2]https://www.ibm.com/support/pages/node/7180203
[3]https://vulners.com/cve/CVE-2024-41766
- 64