-
09/04/2020
-
85
-
554 bài viết
Apache Fineract giải quyết lỗ hổng leo thang đặc quyền CVE-2024-23539
Apache Fineract, một giải pháp ngân hàng mã nguồn mở được sử dụng phổ biến cho các tổ chức tài chính vừa phát hành bản vá để giải quyết 3 lỗ hổng cho phép leo thang đặc quyền hoặc thực hiện các truy vấn cơ sở dữ liệu độc hại. Các lỗ hổng này đều ảnh hưởng đến phiên bản Apache Fineract trước 1.8.5.
Đầu tiên là lỗ hổng leo thang đặc quyền CVE-2024-23537 được đánh giá mức “quan trọng”. Lỗ hổng này có thể cho phép người dùng leo thang đặc quyền lên bất kỳ vai trò nào trong hệ thống, từ đó cho phép truy cập và kiểm soát trái phép, liên quan đến tính bảo mật dữ liệu và tính toàn vẹn của các hoạt động tài chính chạy trên nền tảng.
Tiếp theo là 2 lỗ hổng SQL Injection CVE-2024-23538 và CVE-2024-23539. Đáng chú ý là CVE-2024-23539 được đánh giá mức "nghiêm trọng".
Các lỗ hổng này là do việc vô hiệu hóa không đúng cách các phần tử đặc biệt trong lệnh SQL, khiến tham số sqlSearch trở thành một vectơ mạnh cho các cuộc tấn công SQL Injection, từ đó cho phép kẻ tấn công thao túng các truy vấn cơ sở dữ liệu. Cụ thể là đánh cắp dữ liệu hoặc can thiệp giao dịch trái phép, liên quan đến tính toàn vẹn của nền tảng và làm lung lay niềm tin của khách hàng.
Các tổ chức tài chính trên toàn thế giới đang sử dụng Apache Fineract đều bị ảnh hưởng bởi 3 lỗ hổng trên. Vì vậy, Apache khuyến cáo quản trị viên nên cập nhật lên phiên bản 1.8.5 hoặc 1.9.0 và đánh giá kỹ lưỡng cấu hình hệ thống để tránh rủi ro an ninh mạng.
Đầu tiên là lỗ hổng leo thang đặc quyền CVE-2024-23537 được đánh giá mức “quan trọng”. Lỗ hổng này có thể cho phép người dùng leo thang đặc quyền lên bất kỳ vai trò nào trong hệ thống, từ đó cho phép truy cập và kiểm soát trái phép, liên quan đến tính bảo mật dữ liệu và tính toàn vẹn của các hoạt động tài chính chạy trên nền tảng.
Tiếp theo là 2 lỗ hổng SQL Injection CVE-2024-23538 và CVE-2024-23539. Đáng chú ý là CVE-2024-23539 được đánh giá mức "nghiêm trọng".
Các lỗ hổng này là do việc vô hiệu hóa không đúng cách các phần tử đặc biệt trong lệnh SQL, khiến tham số sqlSearch trở thành một vectơ mạnh cho các cuộc tấn công SQL Injection, từ đó cho phép kẻ tấn công thao túng các truy vấn cơ sở dữ liệu. Cụ thể là đánh cắp dữ liệu hoặc can thiệp giao dịch trái phép, liên quan đến tính toàn vẹn của nền tảng và làm lung lay niềm tin của khách hàng.
Các tổ chức tài chính trên toàn thế giới đang sử dụng Apache Fineract đều bị ảnh hưởng bởi 3 lỗ hổng trên. Vì vậy, Apache khuyến cáo quản trị viên nên cập nhật lên phiên bản 1.8.5 hoặc 1.9.0 và đánh giá kỹ lưỡng cấu hình hệ thống để tránh rủi ro an ninh mạng.