Fortra heeft deze week een update uitgebracht voor een kritieke kwetsbaarheid dat voor het eerst werd ontdekt in augustus 2023.
Bijgehouden als CVE-2024-25153 met een CVSS-score voor kritische ernst van 9.8, vormt de kwetsbaarheid een bedreiging voor het FileCatalyst-product voor bestandsoverdracht van het bedrijf. Het is een soort software die "de overdracht van grote bestanden via externe netwerken met hoge latentie of pakketverlies mogelijk maakt", aldus het bedrijf.
Het beveiligingslek kan worden misbruikt als een niet-geverifieerde bedreigingsacteur op afstand willekeurige code uitvoert op getroffen servers.
“Een directory traversal binnen de ‘ftpservlet’ van de FileCatalyst Workflow Web Portal maakt het mogelijk bestanden te uploaden buiten de beoogde ‘uploadtemp’ directory met een speciaal vervaardigd POST-verzoek,” Dat zegt Fortra in zijn advies. “In situaties waarin een bestand met succes wordt geüpload naar DocumentRoot van het webportaal, kunnen speciaal vervaardigde JSP-bestanden worden gebruikt om code uit te voeren, inclusief webshells.”
Hoewel Fortra op de hoogte is van de bug sinds deze maanden geleden voor het eerst werd gemeld, geeft het nu een CVE uit op verzoek van de persoon die de kwetsbaarheid in de eerste plaats heeft gemeld.
Fortra meldt dat producten die door deze bug getroffen zijn, de Fortra FileCatalyst Workflow 5.x-software zijn, en raadt aan om te upgraden naar 5.1.6 Build 114 of hoger om het probleem te verhelpen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/fortra-releases-update-on-critical-severity-rce-flaw
