Apache Software Foundation, yaygın olarak kullanılan finansal platform Apache Fineract’te kritik bir SQL enjeksiyon güvenlik açığını açıkladı.
CVE-2024-32838 olarak izlenen kusur, birden fazla API uç noktasını etkiler ve bu platformda inşa edilen uygulamalar için önemli bir risk oluşturur.
Bu güvenlik açığı, kimlik doğrulamalı saldırganların kötü niyetli SQL verileri enjekte etmesini, potansiyel olarak hassas bilgileri ve veritabanının genel bütünlüğünü tehlikeye atmasını sağlar.
Etkilenen sürümler ve güvenlik açığının kapsamı
Güvenlik açığı Apache Fineract sürümlerini 1.4 ila 1.9 etkiler. Sorun, “ofisler” ve “gösterge panoları” uç noktaları gibi birkaç dinlenme API uç noktasında zayıf giriş validasyonundan kaynaklanmaktadır.
Sorgu parametrelerinin uygunsuz dezenfekte edilmesi nedeniyle, saldırganlar kötü niyetli SQL sorguları oluşturabilir, bu da veri ihlallerine, yetkisiz erişime veya sistem istikrarsızlığına yol açabilir.
Apache Fineract dünya çapında finansal kurumlar için temel bir arka uç sistemi olduğundan, herhangi bir istismar müşteri verilerine erişim, sahtekarlık riskleri ve iş kayıpları dahil olmak üzere geniş ve ciddi sonuçlara sahip olabilir.
Apache, güvenlik açığı için bir düzeltme içeren Fineract sürüm 1.10.1’e yükseltmenin önemini vurguladı.
Yeni yayınlanan sürüm, SQL enjeksiyon denemelerini önlemek için tasarlanmış sağlam bir mekanizma olan bir SQL validatörü sunar.
SQL doğrulayıcısı, sistemin gelen tüm SQL sorgularını otomatik testler ve kontroller yapmasını sağlar, veri bütünlüğünü sağlar ve kötü niyetli yüklere karşı koruma sağlar.
Güvenlik açığı, Zoho’da bir güvenlik mühendisi olan Kabilan S tarafından tanımlandı ve Apache Fineract geliştirme ekibinin aktif bir üyesi olan Aleksandar Vidakovic tarafından düzeltildi.
Zamanında müdahale ve işbirliği topluluğa güvenli bir çözüm sağlamıştır.
Finansal kurumlar, geliştiriciler ve Apache Fineract kullanan kuruluşların sistemlerini güvence altına almak ve sömürüyü önlemek için derhal 1.10.1 sürümüne yükseltmeleri istenir.
Yükseltmenin ötesinde, kullanıcılara şüpheli etkinlik için günlükleri incelemeleri ve anormal davranışı tespit etmek için ek uygulama katmanı güvenlik duvarları uygulamayı düşünmeleri önerilir.
Bu güvenlik açığını derhal ele alarak, kuruluşlar sistemlerini kötü niyetli aktörlere karşı güvence altına alabilir ve müşterilerinin bu kritik finansal platforma olan güvenini koruyabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free