Fortra julkaisi tällä viikolla päivityksen kriittinen haavoittuvuus joka löydettiin alun perin elokuussa 2023.
Haavoittuvuus, joka on jäljitetty nimellä CVE-2024-25153 ja sen kriittisen vakavuuden CVSS-pistemäärä 9.8, uhkaa yrityksen FileCatalyst-tiedostonsiirtotuotetta. Se on eräänlainen ohjelmisto, joka mahdollistaa "suurten tiedostojen siirtämisen etäverkkojen kautta, joissa on korkea latenssi tai pakettihäviö", yrityksen mukaan.
Haavoittuvuutta voidaan hyödyntää, jos todentamaton uhkatekijä suorittaa mielivaltaisen koodin etäyhteydellä palvelimilla, joita tämä koskee.
"Hakemiston läpikulku FileCatalyst Workflow -verkkoportaalin "ftpservletissä" mahdollistaa tiedostojen lataamisen aiotun "uploadtemp"-hakemiston ulkopuolelle erityisellä POST-pyynnöllä." Fortra sanoi neuvonnassaan. "Tiloissa, joissa tiedosto ladataan onnistuneesti verkkoportaalin DocumentRootiin, erityisesti muotoiltuja JSP-tiedostoja voidaan käyttää koodin suorittamiseen, mukaan lukien verkkokuoret."
Vaikka Fortra on ollut tietoinen virheestä siitä lähtien, kun siitä ilmoitettiin alun perin kuukausia sitten, se julkaisee nyt CVE:n haavoittuvuudesta alun perin ilmoittaneen henkilön pyynnöstä.
Fortra raportoi, että tuotteet, joihin tämä virhe vaikuttaa, ovat sen Fortra FileCatalyst Workflow 5.x -ohjelmisto, ja se suosittelee päivittämistä versioon 5.1.6 Build 114 tai uudempaan ongelman korjaamiseksi.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/fortra-releases-update-on-critical-severity-rce-flaw