Sophos, önemli güvenlik açıklarından 3 tanesini düzelten ve tehdit aktörlerinin Sophos Web Appliance (SWA) üzerinde rastgele kod enjeksiyonu gerçekleştirmesine izin veren yeni bir güvenlik danışma belgesi yayınladı.
CVE(ler):
CVE-2023-1671 – Sophos Web Appliance’ta Ön Kimlik Doğrulama Komutu Enjeksiyonu
CVSS Puanı: 9.8 (Kritik)
CVSS Vektörü: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Bu güvenlik açığı üzerinde var uyar-devam et işleyici, tehdit aktörlerinin rasgele kod yürütmesine izin verir. Harici bir güvenlik araştırmacısı bunu Sophos Bug Bounty Programı aracılığıyla bildirdi.
Savunmasız Ürünler:
Sophos Web Appliance 4.3.10.4 ve daha eski sürümler
CVE-2022-4934 – Sophos Web Appliance’ta Kimlik Doğrulama Sonrası Komut Enjeksiyonu
CVSS Puanı: 7.2 (Yüksek)
CVSS Vektörü: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Bu güvenlik açığı, yöneticilerin rasgele kod yürütmesine izin veren istisna sihirbazı işleyicisinde bulunmaktadır. Harici bir güvenlik araştırmacısı bunu Sophos Bug Bounty Programı aracılığıyla bildirdi.
Savunmasız Ürünler:
Sophos Web Appliance 4.3.10.4 ve daha eski sürümler
CVE-2020-36692 – Sophos Web Appliance’ta POST yöntemiyle yansıyan XSS
CVSS Puanı: 5.4 (Orta)
CVSS Vektörü: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Rapor planlayıcıda bulunan bu güvenlik açığı, tehdit aktörlerinin kurbanın tarayıcısında Javascript kodu yürütmesine olanak tanır. Bu güvenlik açığından yararlanmak için bir tehdit aktörünün, güvenliği ihlal edilmiş herhangi bir web sitesinde kötü amaçlı bir form göndermesi için bir kurbanı kandırması gerekir.
Buna karşılık, kurban Sophos Web Appliance’ta oturum açmıştır. Harici bir güvenlik araştırmacısı bunu Sophos Bug Bounty Programı aracılığıyla bildirdi.
Savunmasız Ürünler:
Sophos Web Appliance 4.3.10.4 ve daha eski sürümler
öneriler:
- Sophos, otomatik olarak güncellendikleri için artık müşteri müdahalesine ihtiyaç duymayan bu güvenlik açıklarını gidermek için yamalar yayınladı.
- Sophos ayrıca Sophos Web Appliance’ı internete maruz kalmaya karşı korumayı talep etti.
Sürüm notları:
| İş emri | Tanım |
| YENİ-1689 | Rapor planlayıcıdaki bir XSS güvenlik açığı çözüldü (CVE-2020-36692). |
| YENİ-1756 | İstisna sihirbazındaki bir güvenlik açığı çözüldü (CVE-2022-4934). |
| YENİ-1763 | Uyarı sayfası işleyicisindeki bir güvenlik açığı çözüldü (CVE-2023-1671). |
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? – All-in-One Patch Manager Plus’ı deneyin