Kuruluşlara ihtiyati tedbir olarak parola sıfırlamalarını zorunlu kılmaları tavsiye edildi
Norveçli yazılım firması Ibexa, Dijital Deneyim Platformunu (DXP) etkileyen hassas bir veri sızıntısı güvenlik açığını çözmek için kullanıcıları hemen yeni bir yama uygulamaya çağırıyor.
DXP, e-ticaret, veri yönetimi, bulut barındırma ve içerik yönetim sistemi (CMS) işlevselliğini içeren işletmeler arası bir uygulamadır.
Kusur, Ibexa DXP ve Ibexa Açık Kaynak için GraphQL sunucu uygulaması olan Ibexa’nın GraphQL Paketinde bulunuyor. GraphQL, API’ler için açık kaynaklı bir veri sorgulama dilidir.
En son siber güvenlik açığı haberlerinin devamını okuyun
“Maalesef kritik bir konuydu. Hem bazı kullanıcıların (genellikle editörler ve yöneticiler) parola karmalarını (parolaları değil), karma türlerini, e-posta adreslerini ve oturum açma adlarını gösterebileceği için, hem de bu kullanıcıların bir sızıntı olması durumunda parolalarını değiştirmek zorunda kalması nedeniyle, ” Ibexa için ürün güvenliği üzerinde çalışan Gunnstein Lye, şunları söyledi: günlük yudum.
Bununla birlikte, CVE-2022-41876 olarak izlenen “kritik” hataya, sonuçta GitHub tarafından 7,5’lik “yüksek” bir CVSS önem derecesi ve ardından NIST (CVSS 5.3) tarafından “orta” olarak atanmıştır.
11 Kasım’da Ibexa, sorunla ve daha az ciddi olan diğer üç güvenlik açığıyla ilgili bir güvenlik danışma belgesi yayınladı.
Uç nokta hatalı
Hash sızıntısı güvenlik açığı, uç noktanın hassas bilgileri nasıl güvenli olmayan bir şekilde depolayarak saldırganların kullanıcı hesapları için kimliği doğrulanmamış GraphQL sorguları göndermesine izin vermesinden kaynaklanıyordu.
Danışma belgesi, “Birçok durumda, son kullanıcılar genellikle gerekli izinlere sahip olmadığından yalnızca yöneticiler ve editörler etkilenir” dedi. Ancak güvenlik açığından etkilenen bir yükleme, kullanıcı tarafından oluşturulan içeriğe de izin veriyorsa bu, güvenlik sorununu yönetici ve düzenleyici hesaplarının kapsamının ötesine taşıyabilir.
Güvenlik açıkları Ibexa DXP v3.3.28, v4.2.3 ve eZ Platform v2.5.31’de giderilmiştir.
Ibexa geliştiricileri ayrıca tüm kullanıcı parolalarının sıfırlanmasını ve güncelleme uygulandıktan sonra kullanıcıların GraphQL şemasını yeniden oluşturmasını önerir. GraphQL uç noktası varsayılan olarak etkinken, kullanıcılar isterlerse bu özelliği devre dışı bırakmayı veya oturum açma ve kimlik doğrulamayı zorunlu tutmayı seçebilirler.
“ileri görüşlü”
Lye şu yorumu yaptı: “Bir güvenlik açığının bir güncelleme uygulanarak kolayca düzeltilememesi ve kullanıcılarımız için çözünürlüğü yavaşlattığı için bunun gibi daha fazla eylem gerektirmesi çok talihsiz bir durumdur.
“Bundan oldukça uzun bir süre önce, kullanıcılara GraphQL’i gerçekten orada kullanmıyorlarsa ön uçta açık tutmamalarını tavsiye etmiştik. Herhangi bir güvenlik açığından şüphelendiğimizden değil, saldırı yüzeyini kolayca yapabildiğiniz halde azaltmak genellikle akıllıca olduğu için. Bu davada bunun neredeyse ileri görüşlü olduğu ortaya çıktı.
Ibexa, sorunu bildirdiği için Lexfo güvenlik mühendisi Philippe Tranca’ya teşekkür etti.
Çözülmüş diğer güvenlik kusurları – rol atama ilkelerinde bir alt ağaç sınırlama hatası, içerik türü girişleri ‘ad’ ve ‘kısa ad’da bir siteler arası komut dosyası çalıştırma (XSS) hatası ve bir HTML etiketi yerleştirme sorunu – yüksek düzeyde arka uç erişimi gerektirir. sömürmek için seviye ayrıcalıkları, dedi Lye.
BUNU DA BEĞENEBİLİRSİN Zendesk Explore kusurları, hesap yağmalamasına kapı açtı