CVE-2021-41163 olarak izlenen kritik bir söylem uzaktan kod yürütme (RCE) güvenlik açığı, Cuma günü geliştirici tarafından acil bir güncelleme yoluyla düzeltildi.
Söylem, açık kaynaklı bir forum, uzun formlu sohbet ve web'de yaygın olarak konuşlandırılan posta listesi yönetim platformudur, ağır bir şekilde sosyal özelliklere odaklanırken mükemmel kullanılabilirlik ve entegrasyon potansiyeli sunar.
Hassas sürümler 2.7.8 ve üzeridir ve riski ele almanın en iyi yolu, Cuma günü çıkan 2.7.9 veya daha sonra güncellenmektir. En son beta ve test versiyonları da kusura karşı düzeltildi.
Resmi istatistiklere göre, 2021 Eylül'de 2021'de 405 milyon kullanıcı tarafından görülen 3.5 milyon mesaj yayınlamak için söylem kullanıldı.
Söylemin yaygın kullanımı nedeniyle, CISA ayrıca forumun hakkında bir uyarı yayınladı, forum yöneticilerinin en yeni sürümüne güncellenmesi veya gerekli geçici çözümleri uyguladılar.
Exploit, 'Abone-URL' değerlerinde doğrulama eksikliğinden yararlanarak, savunmasız yazılımı kötü niyetli bir şekilde hazırlanmış bir istek göndererek tetiklenir.
Kullanıcı verildiğinde `açık ()` `` `` `` ı
Bir CVE-2021-41163'ün çıkarımları ve onu kaldırma kolaylığı ve (kimliği doğrulanmamış bir posta gönderme), 10.0 (kritik) bir CVSS V3 skoruna neden olur, bu nedenle bir acil durum olarak değerlendirilmelidir.
Bir shodan arama, çoğu kişi hala sömürü potansiyeline maruz kalabilecek 8.641 söylem dağıtımını döndürdü. Ancak, tüm SaaS örnekleri Çarşamba gününden bu yana düzeltildi.
En son sürümle güncellenemeyen herkes, bir yukarı akış proxy'de '/ webhooks / aws' ile başlayan bir yolla talepleri engellemesi önerilir.
Şu anda, kusur hala teknik analiz geçiriyor, ancak keşfettiği araştırmacı, bu konuda zengin teknik detaylar yayınladı.
Kusurla ilgili çok fazla ayrıntıyı yayınlamak, bir düzeltme yapıldıktan sonra sadece birkaç gün sonra sadece birkaç gün sonra, yalnızca hacker'ları nasıl istismar yapacağınız için verir. Yine de, araştırmacı bize yamanın kendisinin kesintilerin kesintilerini kolaylaştırdığını söyledi.
Kusurları keşfeden araştırmacı, 10 Ekim 2021'de derhal söylem ekibine sorunu bildirdiğini söyledi.
CVE-2021-41163'ün vahşi doğasında sömürü kanıtı görüp görmediklerini öğrenmek için söylemeye katılmaya başladık ve bu görevi geri aldıktan sonra güncelleriz ..
Apache acil güncelleme, sömürülen hata için eksik düzeltme ekini düzeltir
Netgear, çoklu yönlendiricilerde tehlikeli kod yürütme hatasını düzeltir
Microsoft: Windows MSHTML hatası şimdi fidyeware çeteleri tarafından sömürülen
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Microsoft, Windows CVE-2021-40444 MSHTML sıfır gün böcek düzeltmesi
Kaynak: Bleeping Computer