شرکت اشنایدر الکترونیک، ۱۶ آسیب‌پذیری موجود در نرم‌افزار اتوماسیون اداری را وصله می‌کند

شرکت اشنایدر الکترونیک هفته‌ی گذشته به مشتریان خود اطلاع داد که در آخرین نسخه‌ی نرم‌افزار U.motion Builder، ۱۶ آسیب‌پذیری از جمله مواردی که حیاتی و با شدت بالا هستند، وصله می‌شوند.

 

U.motion یک نرم‌افزار اتوماسیون اداری است که در سراسر جهان در تسهیلات تجاری، بخش‌های مهم تولیدی و انرژی مورد استفاده قرار می‌گیرد. U.motion Builder ابزاری است که به کاربران اجازه می‌دهد تا برای دستگاه‌های U.motion خود، پروژه‌هایی را ایجاد کنند.

پژوهش‌گران دریافتند که نرم‌افزار Builder تحت تاثیر 16 آسیب‌پذیری، از جمله آسیب‌پذیری‌های پیمایش مسیر، افشای اطلاعات و اجرای کد از راه دور از طریق تزریق SQL قرار گرفته است.

اکثر این حفره‌های امنیتی با شدت متوسط طبقه‌بندی شده‌اند، اما برخی از آن‌ها براساس نمره‌ی CVSS خود، جدی‌تر هستند.

 

مخرب‌ترین آسیب‌پذیری که نمره‌ی ۱۰ را دریافت کرده است، در واقع بسته‌ی نرم‌افزاری Samba را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری، اجرای کد از راه دور را ممکن ساخته و به‌دلیل شباهت آن به حمله‌ی باج‌افزار گریه، توسط برخی از اعضای صنعت «SambaCry» نامگذاری شده است. این اشکال که با شناسه‌ی CVE-2017-7494 ردیابی می‌شود، دستگاه‌های برخی از فروشندگان عمده از جمله سیسکو، Netgear، QNAP، Synology، Veritas، Sophos و F5 Networks را تحت تاثیر قرار می‌دهد.

یکی دیگر از آسیب‌پذیری‌های جدی در نرم‌افزار U.motion Builder که با شناسه‌ی CVE-2018-7777 ردیابی می‌شود، به مهاجم اجازه می‌دهد تا با ارسال درخواست‌های جعلی به کارگزار هدف، کدهای دلخواه را از راه دور اجرا کند. همچنین یکی دیگر از آسیب‌پذیری‌های تزریق SQL دارای شناسه‌ی CVE-2018-7765، با «شدت بالا» طبقه‌بندی شده است.

این اشکال‌ها، نسخه‌های قبل از نسخه‌ی ۱.۳.۴ نرم‌افزار U.motion Builder که توسط این شرکت اوایل ماه فوریه منتشر شد، را تحت تاثیر قرار  می‌دهند. این شرکت علاوه بر ارائه‌ی وصله‌ها، توصیه‌هایی را نیز برای کاهش حملات احتمالی به اشتراک گذاشته است.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید