کشف آسیب‌پذیری پیمایش مسیر در DataDiodeX

آسیب‌پذیری Path Traversal در نرم‌افزار DataDiodeX به مهاجم اجازه می‌دهد خارج از محدوده‌ مجاز نرم‌افزار به دایرکتوری‌ها و فایل‌های سیستم دسترسی پیدا کند.

به گزارش افتانا، محصول DataDiodeX شرکت DataFlowX Technology که برای ایجاد ارتباط یک‌طرفه و ایمن بین شبکه‌ها طراحی شده است و به شبکه‌های حساس و حیاتی اجازه می‌دهد که داده‌ها را فقط در یک جهت از شبکه داخلی به خارجی انتقال دهند و از ورود هرگونه داده از خارج به داخل شبکه و نفوذهای سایبری جلوگیری می‌کند با یک آسیب‌پذیری مواجه شده‌است.

آسیب‌پذیری Path Traversal با شناسه CVE-2024-6445 و شدت ۱۰ در این نرم‌افزار شناسایی شده است که به مهاجم اجازه می‌دهد به دایرکتوری‌ها و فایل‌های سیستم، خارج از محدوده‌ مجاز نرم‌افزار دسترسی پیدا کند. این آسیب‌پذیری به دلیل عدم اعتبارسنجی صحیح ورودی‌هایی که مسیر فایل‌ها را تعریف می‌کنند، رخ می‌دهد. مهاجمان می‌توانند از این آسیب‌پذیری برای دسترسی غیرمجاز به فایل‌های حساس سیستم استفاده کنند و یا اطلاعات محرمانه‌ای را از سیستم استخراج کنند. اگر مهاجم به فایل‌هایی که شامل اسکریپت‌ها یا کدهای قابل اجرا هستند دسترسی پیدا کند، ممکن است بتواند کدهای‌مخرب را اجرا نموده و کنترل کامل سیستم را به دست‌گیرد.

نسخه‌‌های قبل از 3.5.0 تحت تاثیر این آسیب‌پذیری قرار دارند. لذا باید تمامی ورودی‌هایی که مسیر فایل را تعریف می‌کنند به درستی فیلتر و بررسی شوند تا کاراکترهای نامعتبر یا دستورات مربوط به تغییر مسیر مسدود شوند. دسترسی به فایل‌ها باید از توابعی استفاده شود که مسیرهای ورودی را بررسی کرده و فقط فایل‌هایی که در مسیرهای مجاز قرار دارند اجازه دسترسی داشته باشند. همچنین دسترسی به فایل‌های حساس باید محدود به کاربران یا برنامه‌هایی باشد که به آن‌ها نیاز دارند و سایر کاربران نباید به این فایل‌ها دسترسی داشته باشند.