Perforce Akana Topluluk Yöneticisi Geliştirici Portalı’nda, saldırganların sunucu tarafı istek sahteciliği (SSRF) saldırıları gerçekleştirmesine olanak tanıyan önemli bir güvenlik açığı bulundu.
Topluluk Yöneticisi, işletmelerin API’lerini kullanarak uygulamalar oluşturan geliştiricileri çekecek, yönetecek ve onlara yardımcı olacak bir API portalı oluşturmalarına yardımcı olmak için tasarlanmış gelişmiş bir çözümdür.
Kuruluşlar, API’leri için geliştirici portalları oluşturmak ve sürdürmek amacıyla bu yazılımı sıklıkla kullanır.
Tipik olarak bir SSRF saldırısı, saldırganın sunucuyu yalnızca şirketin altyapısında bulunan dahili hizmetlere bağlanmaya zorlamasını içerir.
Free Webinar | Mastering WAAP/WAF ROI Analysis | Book Your Spot
Farklı durumlarda, sunucuyu herhangi bir rastgele harici sistemle bağlantı kurmaya zorlayabilirler.
Sonuç olarak, yetkilendirme kimlik bilgileri gibi hassas bilgiler sızdırılabilir.
CVE-2024-2796 olarak takip edilen bu kritik önemdeki güvenlik açığının CVSS taban puanı 9,3’tür. Güvenlik açığı Jakob Antonsson tarafından açıklandı.
Akana Community Manager Geliştirici Portalı’nın 2022.1.3 ve önceki sürümleri, sunucu tarafı istek sahteciliği (SSRF) güvenlik açığına sahiptir.
Bir SSRF saldırısı başarılı olduğunda, bilgisayar korsanı hedef web sunucusunu zararlı işlemler gerçekleştirmek veya özel verileri ifşa etmek için kontrol edebilir.
Bu yaklaşım, hassas verilerin açığa çıkması, siteler arası bağlantı noktası saldırıları (XSPA), hizmet reddi (DoS) ve uzaktan kod yürütme dahil olmak üzere bir kuruluşa önemli zararlar verebilir.
Etkilenen Yazılım Sürümleri
Aşağıdaki Perforce Akana Topluluk Yöneticisi Geliştirici Portalı sürümlerinin etkilendiği doğrulandı:
- 2022.1.1
- 2022.1.2
- 2022.1.3
Yayınlanan Yamalar
- 2022.1.1 (CVE-2024-2796 Yaması)
- 2022.1.2 (CVE-2024-2796 Yaması)
- 2022.1.3 (CVE-2024-2796 Yaması)
Akana Community Manager Geliştirici Portalı’nı kullanan kuruluşların hemen yamalı sürümlerden birine güncelleme yapması önemle tavsiye edilir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP