Çin projesinin koruyucusu, görünüşe göre bir düzeltme yayınlamadan kamu sorununu kapatıyor
Spring Cloud çerçevesi için işlevsellik sağlayan açık kaynaklı bir proje olan Nepxion Discovery’deki yama uygulanmamış bir uzaktan kod yürütme (RCE) güvenlik açığı herkese açık hale getirildi.
GitHub Security Lab’den (GHSL) güvenlik araştırmacıları, 9 Eylül’de Nepxion Discovery’de ek bir bilgi ifşa kusurunun yanı sıra güvenlik açığını açıkladı.
Çin merkezli bir satıcı olan Nepxion, Spring Cloud ile ilgili birkaç açık kaynak projesi yürütüyor.
Nepxion Discovery GitHub sayfasının 1.300’den fazla çatala sahip olmasına rağmen, güvenlik ilkesi sayfası devre dışı ve güvenlik önerileri sekmesi boş.
oyun enjeksiyonu
Bir blog yazısında, GHSL araştırmacısı Jorge Rosillo, GHSL-2022-033 (CVE-2022-23463) olarak izlenen en ciddi güvenlik açığının, yazılımı SpEL Injection’a karşı savunmasız hale getiren keşif ortak işlevinde kritik bir sorun olduğunu söyledi.
SpEL Injection saldırıları, kullanıcı girişinin doğrudan bir SpEL ifade ayrıştırıcısına geçmesini durdurmak için bir koruma eksikliği olduğunda meydana gelir. Bu durumda, iki uç nokta, kullanıcı girdisini ifadelere dönüştürür, bunları iletir ve ardından girdinin Java sınıfları ile etkileşime girmesine izin verilir – java.lang.Runtime dahil – RCE’ye yol açar.
En son açık kaynaklı yazılım güvenliği haberlerinin devamını okuyun
Önem derecesi nedeniyle, bu güvenlik açığına 9.8 CVSS puanı verildi.
GHSL-2022-033 (CVE-2022-23464) olarak izlenen ve 4.3 (NIST 7.5) Can GitHub puanı verilen ikinci sorun, bilgi sızıntılarına neden olabilecek bir sunucu tarafı istek sahteciliği (SSRF) hatasıdır.
GHSL’ye göre, herhangi bir yama sunulmadı ve her iki güvenlik açığı için de bilinen bir geçici çözüm yok. Sorunlar, Nepxion Discovery 6.16.2 ve altı sürümlerini etkiler.
Siber güvenlik araştırmacıları, 22 Mayıs’ta bulgularını özel olarak Nepxion’a açıkladılar. Haziran ayında ekip bir güvenlik irtibatı talep etti ve hiçbir yanıt gelmeden 20 Haziran’da halka açık bir konu açıldı.
Bakımcılar, kamu sorununu 9 Ağustos’ta kapattılar.
21 Ağustos’a kadar, standart güvenlik açığı açıklama süreci son tarihi sona ermişti ve bu da CVE-2022-23463 ve CVE-2022-23464’ün atanmasına ve kamuya açıklanmasına yol açtı.
Yorum için yaklaşıldığında GitHub bizi orijinal açıklamaya yönlendirdi.
Nepxion tarafından gönderilen sorgulara henüz yanıt vermedi. Günlük Swigancak geri döndüğümüzde bu makaleyi güncelleyeceğiz.
BUNU DA BEĞENEBİLİRSİN Rancher, hassas değerleri düz metinde sakladı, Kubernetes kümelerini devralmaya maruz bıraktı