Fortra je hitno objavila zakrpe za rješavanje dvije kritične ranjivosti SQL injekcije u svom FileCatalyst Workflow softveru, identifikovane kao CVE-2024-6632 i CVE-2024-6633. Ako se iskoriste, ove ranjivosti mogu ozbiljno ugroziti povjerljivost, integritet i dostupnost pogođenih sistema.
Utvrđeno je da FileCatalyst Workflow, istaknuto rješenje za prijenos velikih datoteka preko mreža, ima značajne sigurnosne nedostatke. Ranjivosti su otkrivene 27. avgusta 2024. godine, nakon istrage kompanija za sajber sigurnost Dynatrace i Tenable.
Mane utiču na verzije do 5.1.6 Build 139, sa potencijalom za neovlašćene modifikacije baze podataka i otkrivanje informacija.
Detalji ranjivosti
CVE-2024-6632 : Ova ranjivost omogućava napadačima da izvedu napade SQL injekcije preko polja dostupnog super administratorima. Takvi napadi mogu dovesti do neovlaštenih modifikacija baze podataka, što predstavlja rizik za integritet podataka i dostupnost sistema.
Ranjivost je otkrivena tokom rutinske bezbjednosne procijene od strane Dynatracea, koja je identifikovala da korisnički unos nije bio adekvatno validiran tokom procesa podešavanja, što je omogućilo potencijalnu eksploataciju.
CVE-2024-6633 : Ovaj problem uključuje zloupotrebu podrazumijevanih akreditiva za HSQL bazu podataka koja se koristi tokom instalacije. Iako nisu namijenjeni za proizvodnju, sistemi koji nisu prešli na alternativnu bazu podataka ostaju ranjivi. Ovaj nedostatak može dovesti do neovlaštenog pristupa i kršenja podataka.
Fortra je riješila ove ranjivosti u FileCatalyst Workflow verziji 5.1.7. Korisnicima se snažno savjetuje da odmah ažuriraju svoje sisteme kako bi umanjili potencijalne rizike.
Kompanija je naglasila važnost praćenja preporučenih konfiguracija, posebno u pogledu postavljanja baze podataka, kako bi se spriječio neovlašteni pristup.
Organizacije koje koriste FileCatalyst Workflow trebaju pregledati svoje sigurnosne protokole i osigurati da su svi sistemi ažurirani na najnoviju verziju radi zaštite od potencijalnih eksploatacija.
Izvor: CyberSecurityNews
