美国网络安全和基础设施安全局 (CISA) 将 Versa Director 错误添加到其已知被利用的漏洞目录中。
美国网络安全和基础设施安全局 (CISA) 将 Versa Director 危险文件类型上传漏洞 CVE-2024-39717(CVSS 评分:6.6)添加到其已知利用漏洞 (KEV) 目录中。
漏洞 CVE-2024-39717 位于 Versa Director GUI 中的“更改网站图标”功能中,它允许具有特定权限的管理员上传伪装成 PNG 图像的恶意文件。利用此漏洞需要具有必要权限的用户成功进行身份验证。尽管细节有限,但 Versa Networks 证实了由于客户未能实施建议的防火墙指南而利用漏洞的案例。这种疏忽允许攻击者利用漏洞,而无需访问 GUI。
“Versa Networks了解到一个已确认的客户报告实例,由于2015年和2017年发布的防火墙指南并未由该客户实施,因此该漏洞被利用。”公告中写道。“这种未实现导致不良行为者能够在不使用 GUI 的情况下利用此漏洞。”
根据具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中缺陷的攻击。
专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。
CISA 命令联邦机构在 2024 年 9 月 13 日之前修复此漏洞。
发表评论
您还未登录,请先登录。
登录