Zip Slip Güvenlik Açığı, Saldırganın Kötü Amaçlı Kod İçe Aktarmasına İzin Veriyor


Açık kaynaklı veri temizleme ve dönüştürme aracı ‘OpenRefine’da, saldırganların kötü amaçlı kod içe aktarmasına ve rastgele kod çalıştırmasına olanak tanıyan kritik bir Zip Slip güvenlik açığı keşfedildi.

OpenRefine, karmaşık verileri işlemek için güçlü, Java tabanlı, ücretsiz, açık kaynaklı bir araçtır. Bu, onu temizlemeyi, farklı bir formata dönüştürmeyi ve web hizmetleri ve harici verilerle genişletmeyi içerir.

SonarCloud’a göre OpenRefine’deki Zip Slip güvenlik açığı, saldırganların mevcut dosyaların üzerine yazmasına veya içeriklerin beklenmedik konumlara çıkarılmasına olanak tanıyor. Bu güvenlik açığı, arşivler çıkarılırken yetersiz yol doğrulamasından kaynaklanmaktadır.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

OpenRefine Zip Kayma Güvenlik Açığının Ayrıntıları

OpenRefine sürüm 3.7.3 ve önceki sürümlerin proje içe aktarma özelliği, CVSS puanı 7,8 olan Zip Slip güvenlik açığına (CVE-2023-37476) karşı savunmasızdır.

OpenRefine’in yalnızca kullanıcının bilgisayarında yerel olarak yürütülmesi amaçlanmış olsa da, kullanıcı kötü amaçlı bir proje dosyasını içe aktarması için kandırılabilir. Bu dosya içe aktarıldıktan sonra saldırgan, kurbanın bilgisayarında isteğe bağlı kod çalıştırabilecektir.

web Arayüzü
OpenRefine Aracının Web Arayüzü

“Güvenlik açığı, saldırganlara güçlü bir ilkellik kazandırıyor: Rastgele içeriğe sahip dosyaları dosya sistemindeki rastgele bir konuma yazmak. Kök ayrıcalıklarıyla çalışan uygulamalar için, bunu işletim sisteminde rastgele kod yürütmeye dönüştürmek için düzinelerce olasılık var: passwd dosyasına yeni bir kullanıcı eklemek, bir SSH anahtarı eklemek, bir cron işi oluşturmak ve daha fazlası”, diyor araştırmacılar.

Düzeltme Mevcut

17 Temmuz 2023’te yayınlanan OpenRefine Sürüm 3.7.4’te soruna yönelik bir düzeltme bulunmaktadır.

Bunun ışığında, Kullanıcıların mümkün olan en kısa sürede OpenRefine 3.7.4’e güncelleme yapmaları önerilir.

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link