جزئیاتی در مورد یک نقص امنیتی وصله شده در Styra’s Open Policy Agent (OPA) با شناسه CVE-2024-8260 (امتیاز CVSS: 6.1/7.3)، آشکار شده است که در صورت اکسپلویت موفقیتآمیز، میتواند منجر به نشت هشهای مدیریت شبکه جدید فناوری (NTLM) شود.
شرکت امنیت سایبری Tenable در گزارشی گفت: «این آسیبپذیری میتواند به مهاجم اجازه دهد تا اعتبار NTLM حساب کاربری محلی سرور OPA را به سرور راه دور افشا کند و به طور بالقوه امکان ارسال احراز هویت یا شکستن رمز عبور را برای مهاجم فراهم میسازد. این نقص امنیتی که به عنوان آسیبپذیری احراز هویت اجباری Server Message Block (SMB) توصیف میشود، بر کیت توسعه نرمافزار CLI و Go (SDK) در ویندوز تأثیر میگذارد. در اصل، این نقص از اعتبارسنجی ورودی نامناسب ناشی میشود که میتواند با افشای هش Net-NTLMv2 کاربری که در حال حاضر وارد دستگاه ویندوزی است که اپلیکیشن OPA را اجرا میکند، به دسترسی غیرمجاز منجر شود.
https://thehackernews.com/2024/10/security-flaw-in-styras-opa-exposes.html