Fortra این هفته یک به روز رسانی برای یک آسیب پذیری بحرانی که ابتدا در آگوست 2023 کشف شد.

این آسیب‌پذیری که به‌عنوان CVE-2024-25153 با امتیاز CVSS 9.8 ردیابی می‌شود، تهدیدی برای محصول انتقال فایل FileCatalyst این شرکت است. به گفته این شرکت، این نوعی نرم‌افزار است که به گفته این شرکت، «انتقال فایل‌های بزرگ را از طریق شبکه‌های راه دور با تاخیر زیاد یا از دست دادن بسته‌ها» امکان‌پذیر می‌کند. 

اگر یک عامل تهدید احراز هویت نشده کد دلخواه را از راه دور بر روی سرورهای آسیب دیده اجرا کند، این آسیب پذیری می تواند مورد سوء استفاده قرار گیرد.

"پیمایش دایرکتوری در "ftpservlet" پورتال وب FileCatalyst Workflow اجازه می دهد تا فایل ها خارج از فهرست "uploadtemp" مورد نظر با یک درخواست POST ساخته شده مخصوص آپلود شوند." فورترا در مشاوره خود گفت. در شرایطی که یک فایل با موفقیت در DocumentRoot پورتال وب آپلود می‌شود، می‌توان از فایل‌های JSP ساخته شده ویژه برای اجرای کد، از جمله پوسته‌های وب، استفاده کرد.

اگرچه Fortra از زمان گزارش اولیه این باگ از ماه‌ها پیش مطلع بوده است، اما اکنون به درخواست فردی که آسیب‌پذیری را در وهله اول گزارش کرده است، یک CVE صادر می‌کند.

Fortra گزارش می دهد که محصولاتی که تحت تأثیر این باگ قرار می گیرند، نرم افزار Fortra FileCatalyst Workflow 5.x آن هستند و توصیه می کند برای رفع مشکل به نسخه 5.1.6 Build 114 یا بالاتر ارتقا دهید.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/vulnerabilities-threats/fortra-releases-update-on-critical-severity-rce-flaw