Fortra این هفته یک به روز رسانی برای یک آسیب پذیری بحرانی که ابتدا در آگوست 2023 کشف شد.
این آسیبپذیری که بهعنوان CVE-2024-25153 با امتیاز CVSS 9.8 ردیابی میشود، تهدیدی برای محصول انتقال فایل FileCatalyst این شرکت است. به گفته این شرکت، این نوعی نرمافزار است که به گفته این شرکت، «انتقال فایلهای بزرگ را از طریق شبکههای راه دور با تاخیر زیاد یا از دست دادن بستهها» امکانپذیر میکند.
اگر یک عامل تهدید احراز هویت نشده کد دلخواه را از راه دور بر روی سرورهای آسیب دیده اجرا کند، این آسیب پذیری می تواند مورد سوء استفاده قرار گیرد.
"پیمایش دایرکتوری در "ftpservlet" پورتال وب FileCatalyst Workflow اجازه می دهد تا فایل ها خارج از فهرست "uploadtemp" مورد نظر با یک درخواست POST ساخته شده مخصوص آپلود شوند." فورترا در مشاوره خود گفت. در شرایطی که یک فایل با موفقیت در DocumentRoot پورتال وب آپلود میشود، میتوان از فایلهای JSP ساخته شده ویژه برای اجرای کد، از جمله پوستههای وب، استفاده کرد.
اگرچه Fortra از زمان گزارش اولیه این باگ از ماهها پیش مطلع بوده است، اما اکنون به درخواست فردی که آسیبپذیری را در وهله اول گزارش کرده است، یک CVE صادر میکند.
Fortra گزارش می دهد که محصولاتی که تحت تأثیر این باگ قرار می گیرند، نرم افزار Fortra FileCatalyst Workflow 5.x آن هستند و توصیه می کند برای رفع مشکل به نسخه 5.1.6 Build 114 یا بالاتر ارتقا دهید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/fortra-releases-update-on-critical-severity-rce-flaw