Gentoo Soko-ում բացահայտվել են SQL injection-ի բազմաթիվ խոցելիություններ, որոնք կարող են հանգեցնել թիրախային համակարգերում remote code-ի կատարման (RCE):
Երկու խնդիրները, որոնք հայտնաբերվել են Soko-ի որոնողական հարթակում, որակվել են որպես՝ CVE-2023-28424 (CVSS-ում միավորը՝ 9.1):
Soko-ն Go ծրագրային մոդուլ է, որն ապահովում է packages.gentoo.org-ը և օգտվողներին առաջարկում է հեշտ ճանապարհ Portage փաթեթների միջոցով որոնումներ իրականացնելու համար, որոնք հասանելի են Gentoo Linux-ին բաշխման համար:
Ծառայության մեջ հայտնաբերված խոցելիությունները նշանակում են, որ հաքերի համար հնարավոր է փոխանցել հատուկ մշակված ծածկագիր, ինչն էլ կհանգեցնի կոնֆիդենցիալ տվյալների բացահայտմանն ու առևանգմանը:
«SQL injection-երը շահագործելի են և ունեն PostgreSQL սերվերի տարբերակը բացահայտելու և համակարգում կամայական հրամաններ կատարելու հնարավորություն», – նշում է SonarSource-ը:
Կանխման գործընթացը սկսվեց այն ժամանակ, երբ SonarSource-ը Odoo-ի open-source բիզնես փաթեթում բացահայտեց cross-site scripting (XSS)-ի խոցելիությունը:
Այս տարվա սկզբին անվտանգության թույլ կողմերը բացահայտվեցին նաև այնպիսի open-source ծրագրերում, ինչպիսիք են՝ Pretalx-ն ու OpenEMR-ը, որոնք հաքերների համար հեշտ ճանապարհ էին հարթում համակարգերում կամայական կոդերի գործարկման համար:
Աղբյուրը՝ https://thehackernews.com/
