IBM Spectrum Protect Plus uploadHttpsCertificate Komut Enjeksiyonu Uzaktan Kod Yürütme Güvenlik Açığı

CVE IDCVE-2020-4241
CVSS SCORE8.8, (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
ETKİLENEN ÜRETİCİIBM
ETKİLENEN ÜRÜNSpectrum Protect Plus
ZAFİYET DETAYBu güvenlik açığı, uzak saldırganların etkilenen IBM Spectrum Protect Plus yüklemelerinde rasgele kod yürütmesine olanak tanır. Bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekli olsa da, varolan kimlik doğrulama mekanizması atlanabilir.Özel kusur Yönetim Konsolu Çerçevesi hizmetinde bulunur. Filename parametresini ayrıştırırken uploadHttpsCertificate yöntemi, bir sistem çağrısı yürütmek için kullanmadan önce kullanıcı tarafından sağlanan bir dizeyi doğru olarak doğrulamaz. Saldırgan, kök bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
EK DETAYIBM, bu güvenlik açığını gidermek için bir güncelleştirme yayımladı. Daha fazla ayrıntıyı şu adreste bulabilirsiniz:
https://www.ibm.com/support/pages/node/6114130
BİLDİRİM TARİHİ VE AKSİYONLAR2019-12-13 – Üreticiye mevcut bildirilen güvenlik açığı.
2020-03-31 – Üretici oluşan zafiyeti duyurma zamanı.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!