Apache XML Grafiklerindeki Batik Kusuru Hassas Bilgileri Açığa Çıkarıyor


Apache Batik’te, bir tehdit aktörünün Apache Batik’teki hassas bilgilere erişmesine izin verebilecek iki Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığı bulundu.

Bu güvenlik açıkları Apache XML Graphics Batik’te mevcuttur ve CVE-2022-44729 ve CVE-2022-44730 CVE kimlikleri verilmiştir.

SVG (Ölçeklenebilir Vektör Grafikleri) formatının oluşturulması, oluşturulması ve işlenmesi için kullanılan Java tabanlı bir uygulama araç setidir.

Bu araç, SVG Ayrıştırıcı, SVG Oluşturucu ve SVG DOM gibi birden fazla modül içerir.

CVE-2022-44729, SSRF güvenlik açıklarından biri, Apache’nin kötü amaçlı bir SVG kullanarak harici kaynakları yüklemek üzere tetiklenebilmesi nedeniyle mevcut olup, bu durum daha fazla kaynak tüketimine veya bilgilerin açığa çıkmasına neden olabilir.

CVE-2022-44730’a göre, bu güvenlik açığı, bir tehdit aktörü tarafından, kullanıcı profilini/verilerini araştırmak ve bunları doğrudan bir URL parametresi olarak göndererek bilgilerin açığa çıkmasına neden olacak şekilde kötü amaçlı bir SVG kullanarak istismar edilebilir.

Apache, bu güvenlik açıklarına yanıt olarak harici kaynakları varsayılan olarak engelleyerek ve Rhino JS motorunda bir beyaz liste oluşturarak bu güvenlik açıklarını yamaladı.

Batik 1.16 sürümünden önceki sürümler bu güvenlik açıklarından etkileniyordu. Bu güvenlik açıklarını gidermek için Batik’in kaynak kodunda revizyonlar yapıldı.

Bu güvenlik açığından yararlanılmasını önlemek için Apache Batik kullanıcılarının en son sürüm 1.17’ye yükseltmeleri önerilir.

Bizi GoogleNews, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun. twitterve Facebook.





Source link