Yakın zamanda güvenlik araştırmacıları tarafından tespit edilen, HCL DevOps Deploy ve HCL Launch’ta kullanıcıların Web kullanıcı arayüzüne rastgele HTML etiketleri yerleştirmesine olanak tanıyan yeni bir güvenlik açığı ortaya çıktı.
CVE-2024-42195 olarak takip edilen bu güvenlik açığı, hassas bilgilerin yetkisiz kişilere ifşa edilmesi konusunda potansiyel bir risk oluşturmaktadır.
Aşağıda, etkilenen ürün ve sürümlerin, güvenlik açığının niteliğinin ve riski azaltmak için önerilen eylemlerin ayrıntılı bir analizini sunuyoruz.
Güvenlik Açığı Ayrıntıları
Güvenlik açığı, saldırganların HCL DevOps Deploy ve HCL Launch’ın Web kullanıcı arayüzüne rastgele HTML içeriği eklemesine olanak tanıyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Başarılı bir şekilde kullanılırsa bu, hassas bilgilerin açığa çıkmasına yol açabilir ve muhtemelen bu platformlarla etkileşimde bulunan kullanıcıların veri bütünlüğünü ve gizliliğini etkileyebilir.
Nispeten düşük CVSS puanı, belirli yapılandırmalarda açıklardan yararlanmanın potansiyel etkisinin ciddi olabileceğini, ancak başarılı bir şekilde yararlanmanın karmaşıklığının yüksek olduğunu, daha düşük ayrıcalıklar gerektirdiğini ve kullanıcı etkileşimi gerektirmediğini gösterir.
Etkilenen Ürünler ve Sürümler
Aşağıdaki tabloda bu güvenlik açığından etkilenen belirli ürün sürümleri özetlenmektedir:
| Etkilenen Ürün(ler) | Sürüm(ler) |
| HCL Lansmanı | 7.0 – 7.0.5.24 |
| HCL Lansmanı | 7.1 – 7.1.2.20 |
| HCL Lansmanı | 7.2 – 7.2.3.13 |
| HCL Lansmanı | 7.3 – 7.3.2.8 |
| HCL DevOps Dağıtımı | 8.0 – 8.0.1.3 |
HCLSoftware, bu güvenlik açığını azaltmak için kullanıcıları sistemlerini en son yama uygulanmış sürümlere güncellemeye çağırıyor:
- HCL Lansmanı: 7.0.5.25, 7.1.2.21, 7.2.3.14, 7.3.2.9 sürümlerine yükseltme
- HCL DevOps Dağıtımı: 8.0.1.4 veya üzeri bir sürüme yükseltme
Bu güncellemelere HCL Yazılım Lisansı ve İndirme Portalı aracılığıyla erişilebilir. Kuruluşların, ortamlarını olası istismarlara karşı korumak için bu yamaları derhal uygulaması gerekir.
Şu anda herhangi bir geçici çözüm veya alternatif azaltım yöntemi bulunmamaktadır. Kullanıcıların, bu sorunu çözmenin birincil yöntemi olarak önerilen güncellemeleri uygulamaları şiddetle tavsiye edilir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses