کشف آسیبپذیری بحرانی پیمایش مسیردر نرمافزار DataDiodeX
DataDiodeX محصولی ازDataFlowX Technology است که برای ایجاد ارتباط یکطرفه و ایمن بین شبکهها طراحی شده است. DataDiodeX به شبکههای حساس و حیاتی اجازه میدهد که دادهها را تنها در یک جهت از شبکه داخلی به خارجی انتقال دهند و از ورود هرگونه داده از خارج به داخل شبکه و نفوذهای سایبری جلوگیری میکند. اخیرا آسیبپذیری Path Traversal با شناسه CVE-2024-6445 وشدت ۱۰ در این نرمافزار شناسایی شده است که به مهاجم اجازه میدهد به دایرکتوریها و فایلهای سیستم خارج از محدودهی مجاز نرمافزار دسترسی پیدا کند. این آسیبپذیری به دلیل عدم اعتبارسنجی صحیح ورودیهایی که مسیر فایلها را تعریف میکنند، رخ میدهد. مهاجمان میتوانند از این آسیبپذیری برای دسترسی غیرمجاز به فایلهای حساس سیستم استفاده کنند و یا اطلاعات محرمانهای را از سیستم استخراج کنند. اگر مهاجم به فایلهایی که شامل اسکریپتها یا کدهای قابل اجرا هستند دسترسی پیدا کند، ممکن است بتواند کدهایمخرب را اجرا نموده و کنترل کامل سیستم را به دستگیرد.
محصولات تحت تاثیر
نسخههای قبل از 3.5.0 تحت تاثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
فیلتر کردن ورودیها: باید تمامی ورودیهایی که مسیر فایل را تعریف میکنند به درستی فیلتر و بررسی شوند تا کاراکترهای نامعتبر یا دستورات مربوط به تغییر مسیر مسدود شوند.
استفاده از توابع امن: برای دسترسی به فایلها باید از توابعی استفاده شود که مسیرهای ورودی را بررسی کرده و فقط فایلهایی که در مسیرهای مجاز قرار دارند اجازه دسترسی داشته باشند.
محدود کردن دسترسی فایلها: دسترسی به فایلهای حساس باید محدود به کاربران یا برنامههایی باشد که به آنها نیاز دارند و سایر کاربران نباید به این فایلها دسترسی داشته باشند.