شرکت اشنایدر الکترونیک هفته‌ی گذشته به مشتریان خود اطلاع داد که در آخرین نسخه‌ی نرم‌افزار U.motion Builder، ۱۶ آسیب‌پذیری از جمله مواردی که حیاتی و با شدت بالا هستند، وصله می‌شوند.

به گزارش وبگاه خبری تخصصی امنیت آی تی؛ U.motion یک نرم‌افزار اتوماسیون اداری است که در سراسر جهان در تسهیلات تجاری، بخش‌های مهم تولیدی و انرژی مورد استفاده قرار می‌گیرد. U.motion Builder ابزاری است که به کاربران اجازه می‌دهد تا برای دستگاه‌های U.motion خود، پروژه‌هایی را ایجاد کنند.

پژوهش‌گران دریافتند که نرم‌افزار Builder تحت تاثیر ۱۶ آسیب‌پذیری، از جمله آسیب‌پذیری‌های پیمایش مسیر، افشای اطلاعات و اجرای کد از راه دور از طریق تزریق SQL قرار گرفته است. شرکت اشنایدر الکترونیک هفته‌ی گذشته به مشتریان خود اطلاع داد که در آخرین نسخه‌ی نرم‌افزار U.motion Builder، ۱۶ آسیب‌پذیری از جمله مواردی که حیاتی و با شدت بالا هستند، وصله می‌شوند.

اکثر این حفره‌های امنیتی با شدت متوسط طبقه‌بندی شده‌اند، اما برخی از آن‌ها براساس نمره‌ی CVSS خود، جدی‌تر هستند.

مخرب‌ترین آسیب‌پذیری که نمره‌ی ۱۰ را دریافت کرده است، در واقع بسته‌ی نرم‌افزاری Samba را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری، اجرای کد از راه دور را ممکن ساخته و به‌دلیل شباهت آن به حمله‌ی باج‌افزار گریه، توسط برخی از اعضای صنعت «SambaCry» نامگذاری شده است. این اشکال که با شناسه‌ی CVE-۲۰۱۷-۷۴۹۴ ردیابی می‌شود، دستگاه‌های برخی از فروشندگان عمده از جمله سیسکو، Netgear، QNAP، Synology، Veritas، Sophos و F۵ Networks را تحت تاثیر قرار می‌دهد.

یکی دیگر از آسیب‌پذیری‌های جدی در نرم‌افزار U.motion Builder که با شناسه‌ی CVE-۲۰۱۸-۷۷۷۷ ردیابی می‌شود، به مهاجم اجازه می‌دهد تا با ارسال درخواست‌های جعلی به کارگزار هدف، کدهای دلخواه را از راه دور اجرا کند. همچنین یکی دیگر از آسیب‌پذیری‌های تزریق SQL دارای شناسه‌ی CVE-۲۰۱۸-۷۷۶۵، با «شدت بالا» طبقه‌بندی شده است.

این اشکال‌ها، نسخه‌های قبل از نسخه‌ی ۱.۳.۴ نرم‌افزار U.motion Builder که توسط این شرکت اوایل ماه فوریه منتشر شد، را تحت تاثیر قرار می‌دهند. این شرکت علاوه بر ارائه‌ی وصله‌ها، توصیه‌هایی را نیز برای کاهش حملات احتمالی به اشتراک گذاشته است.

نظر شما!!