SoftNAS виправила у своєму інструменті управління хмарним сховищем критичну вразливість, що дозволяє виконати шкідливий код на сервері жертви
SoftNAS виправила у своєму інструменті управління хмарним сховищем критичну вразливість, що дозволяє виконати шкідливий код на сервері жертви
SoftNAS виправила у своєму інструменті керування хмарним сховищем критичну вразливість, що дозволяє виконати шкідливий код на сервері жертви.
Проблема була виявлена дослідниками безпеки з компанії Core Security у компоненті StorageCenter версії SoftNAS Cloud 4.0.3 та раніше. Вразливість може бути проексплуатована неавторизованим зловмисником для виконання довільних системних команд із правами суперкористувача на сервері.
Уразливість CVE-2018-14417 існує у механізмі перевірки оновлень програмного забезпечення. Цей механізм не виконує перевірку сеансу та аутентифікації. Зокрема скрипт snserv не перевіряє вхідні параметри перед передачею їх системній команді. Проексплуатувавши цю проблему, зловмисники можуть зламати сервер жертви, на якому запущено StorageCenter.
Дослідники повідомили SoftNAS про свою знахідку, після чого виробник випустив SoftNAS Cloud 4.0.3 для усунення вразливості.
