สัปดาห์นี้ Fortra เปิดตัวการอัปเดตสำหรับ ช่องโหว่ที่สำคัญ ที่ถูกค้นพบครั้งแรกในเดือนสิงหาคม พ.ศ. 2023
ติดตามในชื่อ CVE-2024-25153 ด้วยคะแนน CVSS ระดับความรุนแรงวิกฤตที่ 9.8 ช่องโหว่ดังกล่าวก่อให้เกิดภัยคุกคามต่อผลิตภัณฑ์ถ่ายโอนไฟล์ FileCatalyst ของบริษัท เป็นซอฟต์แวร์ประเภทหนึ่งที่อนุญาตให้ “ถ่ายโอนไฟล์ขนาดใหญ่ผ่านเครือข่ายระยะไกลที่มีเวลาแฝงสูงหรือการสูญเสียแพ็กเก็ต” ตามที่บริษัทระบุ
ช่องโหว่นี้สามารถถูกโจมตีได้หากผู้คุกคามที่ไม่ได้รับการรับรองความถูกต้องรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ
“การสำรวจเส้นทางไดเรกทอรีภายใน 'ftpservlet' ของ FileCatalyst Workflow Web Portal อนุญาตให้อัปโหลดไฟล์นอกไดเรกทอรี 'uploadtemp' ที่ต้องการพร้อมคำขอ POST ที่สร้างขึ้นเป็นพิเศษ” Fortra กล่าวในการให้คำปรึกษา. “ในสถานการณ์ที่ไฟล์ถูกอัปโหลดไปยัง DocumentRoot ของพอร์ทัลเว็บได้สำเร็จ ไฟล์ JSP ที่สร้างขึ้นเป็นพิเศษสามารถใช้เพื่อรันโค้ด รวมถึงเว็บเชลล์ด้วย”
แม้ว่า Fortra จะทราบถึงข้อผิดพลาดแล้วนับตั้งแต่มีการรายงานครั้งแรกเมื่อหลายเดือนก่อน แต่ตอนนี้กำลังออก CVE ตามคำขอของบุคคลที่รายงานช่องโหว่ในตอนแรก
Fortra รายงานว่าผลิตภัณฑ์ที่ได้รับผลกระทบจากจุดบกพร่องนี้คือซอฟต์แวร์ Fortra FileCatalyst Workflow 5.x และแนะนำให้อัปเกรดเป็น 5.1.6 Build 114 หรือสูงกว่าเพื่อแก้ไขปัญหา
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/fortra-releases-update-on-critical-severity-rce-flaw
