آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) بر اساس شواهدی مبنی بر اکسپلویت فعال، یک نقص امنیتی را که بر Versa Director تأثیر میگذارد به فهرست آسیبپذیریهای شناخته شده (KEV) قرار داده است.
این آسیبپذیری با شناسه CVE-2024-39717 (امتیاز CVSS: 6.6)، موردی از نقص آپلود فایل است که بر ویژگی «Change Favicon» تأثیر میگذارد و به عامل تهدید اجازه میدهد تا فایل مخرب را با پنهانسازی به عنوان فایل تصویری PNG به ظاهر بیخطر آپلود کند.
CISA گفت: رابط کاربری Versa Director حاوی یک آپلود نامحدود از فایل با آسیبپذیری نوع خطرناک است که به مدیران دارای دسترسی Provider-Data-Center-Admin یا Provider-Data-Center-System-Admin امکان سفارشیسازی رابط کاربری را میدهد.
Change Favicon با فعالسازی آپلود یک فایل png. میتواند جهت آپلود فایلی مخرب با پسوند PNG. که به عنوان یک تصویر پنهان شده است، مورد سوء استفاده واقع شود.
https://thehackernews.com/2024/08/cisa-urges-federal-agencies-to-patch.html
