Gentoo Soko’da, savunmasız sistemlerde uzaktan kod yürütülmesine (RCE) yol açabilecek birden çok SQL enjeksiyon güvenlik açığı açıklandı.
SonarSource araştırmacısı Thomas Chauchefoin, “Bu SQL enjeksiyonları, bir Nesne-İlişkisel Eşleme (ORM) kitaplığı ve hazırlanmış ifadelerin kullanılmasına rağmen gerçekleşti,” dedi ve bunların “veritabanının yanlış yapılandırılması” nedeniyle Soko’da RCE ile sonuçlanabileceğini ekledi.
Soko’nun arama özelliğinde keşfedilen iki konu toplu olarak CVE-2023-28424 (CVSS puanı: 9.1) olarak izlendi. Bunlar, 17 Mart 2023’teki sorumlu açıklamanın ardından 24 saat içinde ele alındı.
Soko, package.gentoo.org’a güç veren ve kullanıcılara Gentoo Linux dağıtımı için mevcut olan farklı Portage paketlerini aramanın kolay bir yolunu sunan bir Go yazılım modülüdür.
Ancak hizmette tespit edilen eksiklikler, kötü niyetli bir aktörün özel hazırlanmış bir kod enjekte ederek hassas bilgilerin açığa çıkmasıyla sonuçlanabileceği anlamına geliyordu.
SonarSource, “SQL enjeksiyonları istismar edilebilirdi ve PostgreSQL sunucusunun sürümünü ifşa etme ve sistemde rasgele komutlar yürütme yeteneğine sahipti.”
Geliştirme, SonarSource’un Odoo adlı açık kaynaklı bir iş paketinde savunmasız bir Odoo örneğindeki herhangi bir kurbanın kimliğine bürünmek ve değerli verileri sızdırmak için kullanılabilen bir siteler arası komut dosyası çalıştırma (XSS) kusurunu ortaya çıkarmasından aylar sonra gelir.
Bu yılın başlarında, Pretalx ve OpenEMR gibi açık kaynaklı yazılımlarda, uzaktan saldırganların rastgele kod yürütmesinin önünü açabilecek güvenlik zayıflıkları da ifşa edildi.