Progress Software, OpenEdge’deki Progress Application Server (PASOE) yazılımının çeşitli versiyonlarında kritik bir güvenlik açığını ortaya çıkardı.
Bir tavsiye belgesine göre, CVE-2023-40051, OpenEdge’in 11.7.18’den önceki 11.7 sürümlerini, 12.2.13’ten önceki 12.2 sürümlerini ve 12.8.0’dan önceki yenilik sürümlerini etkilemektedir.
Tavsiye belgesinde “Bir saldırgan, PASOE çalıştıran sistemdeki bir sunucu dizini yoluna istenmeyen dosya yüklemelerine izin veren bir web aktarımı için bir istek formüle edebilir” ifadesine yer veriliyor.
“Yükleme, sunucuyu veya ağını daha fazla istismar edebilecek bir veri içeriyorsa, daha büyük ölçekli bir saldırının başlatılması mümkün olabilir.”
Progress Software, web aktarımının yerleşik işleyiciler aracılığıyla “tüm web işleyicileri genelinde” dosya yüklemelerini desteklediğini açıkladı.
Şirket, “Beklenen davranış, openge.properties dosyasındaki ‘fileUploadDirectory’ özelliğinin değeri boş olduğundan dosya yüklemenin varsayılan olarak devre dışı bırakılmasıdır” dedi.
Sorun şu ki, varsayılan ayar, PASOE örneğini başlatan kullanıcı hesabına “tüm dizinlere erişim” sağlıyor ve eğer dizinlerin yazma izni varsa, sistem Linux’a veya Windows altındaki kök sürücüye kötü amaçlı dosya yüklemesine maruz kalıyor.
Hemen yama yapamayan kullanıcılara, “fileUploadDirectory” yapılandırma özelliğinin var olmayan bir dizine ayarlanmasıyla geçici bir azaltımın mümkün olduğu bildirilir.