HCL BigFix, keşif, yönetim ve düzeltmeyi otomatikleştirme yeteneğine sahip bir uç nokta yönetim platformudur.
İşletim sistemi, konum veya bağlantıdan bağımsız olarak şirket içi, bulut veya sanal ortamlardaki uç noktalardaki güvenlik açıklarını bulabilir ve düzeltebilir.
HCL’den gelen son raporlar, oturum açma sayfasındaki bir yeniden yönlendirme kusurunun, tehdit aktörlerinin istemci tarayıcısını harici sitelere yönlendirmesine izin verdiğini belirtiyor.
CVE-2023-28020: HCL BigFix WebUI’deki Oturum Açma sayfasında URL yeniden yönlendirmesi
HCL BigFix WebUI’nin oturum açma sayfasında yer alan bu kusur, bir saldırganın istemci tarayıcısını yönlendirme URL’si yanıt üstbilgisi aracılığıyla harici bir siteye yönlendirmesine olanak tanır.
Bu güvenlik açığının önem derecesi 4.3 (orta) olarak verilmektedir.
HCL, harici araştırmacılar tarafından keşfedilen diğer bazı güvenlik açıklarıyla birlikte bu güvenlik açığını gidermek için güvenlik yamaları yayınladı.
Diğer güvenlik açığı yamaları
Yama uygulanan HCL BigFix ile ilgili diğer bazı güvenlik açıkları şunları içerir:
- 0.19.3’ten önceki SheetJS Community Edition’da Prototip Kirliliği
- Node.js üzerinde SSRF Bypass
- Yakalanmayan İstisna, Node.js işleminin sonlandırılmasını tetikler
- Socket.io’daki yakalanmamış bir İstisna, Node.js sürecini öldürür
- Kimliği doğrulanmış kullanıcılar, parametreleştirilmemiş SQL sorgusu yoluyla SQL sorguları yapabilir
- Zayıf Şifre Paketleri
- Siteler Arası İstek Sahteciliği, sunucu tarafı dosyalara erişim sağlar
Etkilenen Ürünler ve Sabit sürümler
| WebUI Site Adı | Sürümde Düzeltildi |
| Uygulama Yönetimi | 31 |
| Yaygın | 79 |
| Gelenek | 42 |
| içgörüler | 19 |
| Yama | 40 |
| IVR | 7 |
| Yama Politikaları | 36 |
| Profil Yönetimi | 24 |
| Sorgu | 34 |
| Yazılım Dağıtımı | 46 |
| WebUI API’sı | 17 |
| WebUI İçerik Uygulaması | 20 |
| CMEP Web Kullanıcı Arayüzü | 13 |
| WebUI Veri Senkronizasyonu | 24 |
| WebUI Çerçevesi | 26 |
| WebUI MDM’si | 18 |
| WebUI İzinleri ve Tercihleri | 19 |
| WebUI Raporları | 15 |
| WebUI Harekete Geçin | 27 |
| SCM Web Kullanıcı Arayüzü | 9 |
| WebUI Uzantıları | 5 |
Bu ürünlerin kullanıcılarının, tehdit aktörlerini önlemek için en son sürüme yükseltmeleri önerilir.