IBM Ürünlerindeki CVE-2024-49785 ve CVE-2021-29669 Siteler Arası Komut Dosyası Güvenlik Açıkları

byCyberHat.Online -

Siteler Arası Komut Dosyası Güvenlik Açıklarına Genel Bakış IBM Ürünlerinde

Siteler arası betik çalıştırma (XSS) güvenlik açıkları, saldırganların güvenilir web sitelerine kötü amaçlı betikler enjekte etmesine olanak tanıyarak web uygulamaları için önemli güvenlik riskleri oluşturur. IBM ürünlerini etkileyen iki önemli güvenlik açığı CVE-2024-49785 ve CVE-2021-29669'dur. Her iki güvenlik açığı da kimliği doğrulanmış kullanıcıların web kullanıcı arayüzünde keyfi JavaScript kodu yürütmesine olanak tanır ve bu da potansiyel olarak kimlik bilgilerinin ifşa edilmesine ve diğer kötü amaçlı faaliyetlere yol açar.

Güvenlik Açıklarının Ayrıntıları

CVE-2024-49785

IBM watsonx.ai 1.1'den 2.0.3'e kadar olan sürümler ve Cloud Pak for Data'daki IBM watsonx.ai 4.8'den 5.0.3'e kadar olan sürümler, siteler arası betik çalıştırmaya karşı savunmasızdır. Bu güvenlik açığı, kimliği doğrulanmış bir kullanıcının Web UI'sine keyfi JavaScript kodu yerleştirmesine, amaçlanan işlevselliğini değiştirmesine ve güvenilir bir oturumda kimlik bilgilerinin ifşa edilmesine yol açmasına olanak tanır. Bu güvenlik açığı için Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) taban puanı 5,4'tür ve bu da orta düzeyde bir ciddiyet seviyesini gösterir .

Etkilenen Ürünler

ÜrünSürümler
IBM watsonx.ai1.1 - 2.0.3
IBM watsonx.ai Veri için Cloud Pak'ta4.8 - 5.0.3

İyileştirme

IBM şu sürüme yükseltmeyi öneriyor:
  • IBM watsonx.ai sürüm 2.1.0 veya üzeri
  • IBM watsonx.ai on Cloud Pak for Data sürüm 5.1.0 veya üzeri
    2
    .

CVE-2021-29669

IBM Jazz Foundation 6.0.6, 6.0.6.1, 7.0, 7.0.1 ve 7.0.2 sürümleri de watsonx güvenlik açığına benzer şekilde siteler arası betik saldırılarına karşı savunmasızdır. Bu güvenlik açığı kullanıcıların Web UI'sine keyfi JavaScript kodu yerleştirmesine olanak tanır, bu da işlevselliğini değiştirebilir ve güvenilir bir oturumda kimlik bilgisi ifşalarına yol açabilir .

Etkilenen Ürünler

ÜrünSürümler
IBM Caz Vakfı6.0.6, 6.0.6.1, 7.0, 7.0.1, 7.0.2

İyileştirme

Kullanıcıların ürünlerini en az 7.0.3 sürümüne yükseltmeleri veya gerektiği takdirde özel yamaları uygulamaları önerilir .

Örnek Senaryo

Bir organizasyonun veri analizi ve karar alma süreçleri için IBM watsonx.ai'ı kullandığı bir senaryoyu ele alalım:
  1. Kullanıcı Kimlik Doğrulaması : Bir çalışan, kimlik bilgilerini kullanarak IBM watsonx.ai uygulamasına giriş yapar.
  2. Kötü Amaçlı Komut Dosyası Enjeksiyonu : Çalışan, XSS güvenlik açığı (CVE-2024-49785) nedeniyle uygulamanın Web UI'sindeki bir yorum alanına JavaScript kodu girebileceğini keşfeder. Oturum çerezlerini yakalamak için tasarlanmış bir komut dosyası girerler.
  3. Kötü Amaçlı Kodun Çalıştırılması : Başka bir kullanıcı kötü amaçlı yorumun bulunduğu sayfaya eriştiğinde, komut dosyası tarayıcı bağlamında yürütülür ve hassas oturum bilgilerini yakalar.
  4. Kimlik Bilgilerinin Açıklanması : Saldırgan artık başka bir kullanıcının kimlik bilgilerine erişebilir ve bu bilgiler sisteme yetkisiz erişim veya daha fazla istismar için kullanılabilir.
Bu senaryo, XSS açıklarının gerçek dünya uygulamalarında nasıl istismar edilebileceğini göstererek, zamanında düzeltme ve güncellemelerin önemini vurgulamaktadır.

Çözüm

Hem CVE-2024-49785 hem de CVE-2021-29669, derhal ele alınmadığı takdirde önemli güvenlik ihlallerine yol açabilecek IBM'in yazılım ürünlerindeki kritik güvenlik açıklarını vurgulamaktadır. Etkilenen sürümleri kullanan kuruluşlar, sistemlerini yükseltmeyi ve bu riskleri etkili bir şekilde azaltmak için en iyi güvenlik uygulamalarını uygulamaya öncelik vermelidir.Bu tür güvenlik açıkları hakkında bilgi sahibi olarak ve gerekli yamaları uygulayarak kuruluşlar hassas verilerini koruyabilir ve web uygulamalarının bütünlüğünü koruyabilirler.

Tags

Yorum Gönder

Daha yeni Daha eski

İletişim Formu