Salı günü Synopsys, PHPFusion’da araştırmacılar tarafından keşfedilen CVE-2023-2453 ve CVE-2023-4480 yüksek ve orta dereceli güvenlik açıklarını ele aldı.
PHPFusion, kişisel veya ticari web sitelerini yönetmek için tasarlanmış açık kaynaklı bir içerik yönetim sistemidir (CMS) ve GNU Affero Genel Kamu Lisansı v3.0 kapsamında sunulmaktadır.
Bu güvenlik açıkları, saldırganların uzaktan kod yürütme girişimleri gerçekleştirmesine olanak tanıyan PHP fusion’ın 9.10.30 sürümlerini ve önceki sürümlerini etkiliyor.
Güvenlik açığını azaltacak herhangi bir yama mevcut değildir; bunun yerine, istismarın önlenmesi için kullanıcılarına “Forum” seçeneğini devre dışı bırakmalarını öneriyor.
CVE-2023-2453
CyRC araştırmacısı Matthew Hogg, bu yüksek güvenlik açığını 8,5 temel puanla keşfetti.
Mutlak yolun dahil edildiği ve yürütüldüğü bilinen ‘.php’ uzantılı rastgele dosyaların yetersiz temizlenmesi nedeniyle.
Bir saldırganın ‘.php’ uzantılı hazırlanmış bir yük dosyasını hedef sistemdeki bilinen herhangi bir mutlak yola yüklemenin bazı yollarını elde etmesi durumunda, bu güvenlik açığından yararlanılması, uzaktan kod yürütülmesine (RCE) yol açabilir.
Bu güvenlik açığına yönelik herhangi bir yama mevcut değildir. Yönetici paneli aracılığıyla “Forum” Erişiminin devre dışı bırakılması, bu güvenlik açığından yararlanmaya yönelik uç noktayı kaldırarak sorunu önler.
“Forum” Eklemesi devre dışı bırakılamazsa, web uygulaması güvenlik duvarı gibi teknolojiler, istismar girişimlerini azaltmaya yardımcı olabilir.
CVE-2023-4480
Yönetici panelinin “Fusion Dosya Yöneticisi” bileşeninde, bir saldırgan, güncel olmayan bir bağımlılık nedeniyle, çalışan işlemin ayrıcalıklarına sahip sistem dosyalarını okumak için sahte bir istekte bulunabilir.
CyRC araştırmacısı Dharani Sri Penumacha, bu orta düzeydeki güvenlik açığını 5,2 temel puanla keşfetti.
Bu güvenlik açığından yararlanılması, ana bilgisayardaki bilinen mutlak yollar için rastgele dosya okuma ve sınırlı dosya yazma işlemlerine yol açabilir.
Bu güvenlik açığına yönelik herhangi bir yama mevcut değildir. Web uygulaması güvenlik duvarı gibi teknolojiler, istismar girişimlerini azaltmaya yardımcı olabilir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.