Argitalpen data: 2020/09/21
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- mymbCONNECT24, v2.6.1 bertsioa eta aurrekoak;
- mbCONNECT24, v2.6.1 bertsioa eta aurrekoak;
Azalpena:
[email protected] plataformak OTORIOk MB connect
line-ri jakinarazitako ahultasunak koordinatu ditu. Horrela izanik, erasotzaile
batek informazioa zabal lezake.
Konponbidea:
Kaltetutako produktuak v2.6.1. bertsioaren
osteko bertsio batera eguneratzea.
Xehetasunak:
- Knximport eta lancompenent sistemen SQL injekzioko ahultasun baten bidez, baimendutako erasotzaile batek informazio arbitrarioa antzeman lezake. Ahultasun horietarako CVE-2020-24569 eta CVE-2020-24568 identifikatzaileak erreserbatu dira.
- Server-Side Request Forgery (SSRF) eta Cross-Site Request Forgery (CSRF) motako ahultasunaren bidez, erasotzaile batek saioko informazioa lapurtu lezake, bereziki diseinatutako loturen bidez. Ahultasun horretarako, CVE-2020-24570 identifikatzailea esleitu da.
- Hirugarrenen software zaharkitu eta erabili gabea erabiliz, kodearen urrutiko exekuzioa gerta liteke, ustiapen kate baten bidez.
Etiketak: Eguneratzea, Birtualizazioa, Ahultasuna