7 月 3 日消息,网络安全公司 SonarSource 在日前研究中发现,Gentoo LINUX 发行版中存在漏洞 CVE-2023-28424,黑客可以利用该漏洞进行 SQL 注入攻击。
研究人员从 GentooLinux 的 Soko 搜索组件中找到了这个漏洞。该漏洞的 CVSS 风险评分为 9.1,属于特别重大漏洞,GentooLinux 开发团队已经于漏洞曝出 24 小时内进行了修复。
▲ 图源 SonarSource
▲ 图源 SonarSource
据悉,Soko 组件是一个公共 API,在搜索系统中的软件包时,可以提供更高的效率,并可以进行软件源的错误跟踪和溯源。
▲ 图源 SonarSource
该漏洞发生的原因,主要是“数据库组态配置不当”,即使是在套用了对象关系映射(Object-RelationalMapping)的情况下,攻击者依然可以利用该漏洞进行 SQL 注入,从而在受害者的设备上运行相应恶意代码,目前该漏洞已经被修复,感兴趣的小伙伴们可以在这里找到报告的更多内容。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
