В сканере безопасности Rapid7 Nexpose обнаружена уязвимость

27 октябрь, 2020 - 12:45

Специалисты Positive Technologies выявили уязвимость в продукте Rapid7 Nexpose, которая позволяет злоумышленникам c низкими привилегиями в системе получать неавторизованный доступ к ресурсам и данным. Уязвимость присутствует в компонентах Security Console версии 6.6.48 и ниже.

Продукт Nexpose – это инструмент для управления уязвимостями, который позволяет компаниям оперативно выявлять бреши в защите их инфраструктуры.

Уязвимость CVE-2020-7383 позволяет провести атаку типа «внедрение SQL-кода», в результате чего авторизованный злоумышленник может получить доступ к некоторым данным, хранящимся в базе данных. Они могут включать в себя информацию о найденных уязвимостях, проведенных сканированиях, политиках. Также используя внедрение SQL-кода атакующий может проводить DoS-атаки на базу данных, что приводит к нарушению нормальной работы веб-интерфейса.

Данная уязвимость позволяет авторизованному злоумышленнику получить доступ к некоторым данным, хранящимся в базе данных, изменять их или добавлять новые записи. Причем эксплуатировать ошибку можно даже обладая низкими привилегиями в системе – это позволит получить доступ к данным, которые не должны видеть пользователи с таким уровнем прав.

Уязвимость получила оценку 6,5, что соответствует среднему уровню опасности. Разработчик продукта Nexpose, компания Rapid7, опубликовала обновления, в которых ошибка исправлена.

В сканере безопасности Rapid7 Nexpose обнаружена уязвимость