شناسایی یک آسیب پذیری بحرانی

کارشناسان از شناسایی یک آسیب پذیری بحرانی خبر داده‌اند که درصورت سوء‌استفاده موفق، مهاجم احراز هویت نشده از راه دور می‌تواند کد مورد نظر خود را برروی سرویس‌دهنده آسیب‌پذیر اجرا کند.

به گزارش ایسنا، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای  وجود آسیب‌پذیری بحرانی را با شناسه CVE-۲۰۲۲-۳۴۹۴۳  و شدت خطر CVSSv۳ ۹.۸ در فریمورک Laravel اعلام کرده که درصورت سوءاستفاده موفق مهاجم احراز هویت نشده، از راه دور می‌تواند کد دلخواه خود را بر روی سرویس دهنده آسیب‌پذیر اجرا کند. لازم به ذکر است این آسیب‌پذیری به صورت گسترده در اینترنت مورد سواستفاده قرار گرفته و پیلود مربوطه به قیمت ۵ هزار دلار به فروش می‌رسد.

 آسیب پذیری بیان شده مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی می‌شود. سپس مهاجم را قادر  می‌کند تا کد مورد نظر خود را برروی سرویس دهنده اجرا کند که پیامدهای مخرب آتی را به دنبال خواهد داشت.

همچنین لاراول نسخه ۵.۱ تحت تأثیر این آسیب پذیری قرار می‌گیرد، بنابراین به دلیل وجود این آسیب پذیری تنها در نسخه ۵.۱ فریمورک لاراول، کارشناسان امنیتی می‌توانند سریعا نسبت به تغییر نسخه مورد استفاده و به‌روزرسانی اقدام کنند. لاراول نسخه ۹ در تاریخ ۱۸ اسفند ۱۴۰۰ منتشر شده و جدیدترین نسخه موجود است که بسیاری از موارد امنیتی در این نسخه لحاظ شده و نحوه به‌روزرسانی به نسخه‌های مختلف در وب سایت رسمی لاراول توضیح داده شده است.

انتهای پیام