Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Устранена уязвимость в сканере безопасности Rapid7 Nexpose, найденная экспертом Positive Technologies

26/10/20

Эксперт Positive Technologies Михаил Ключников выявил уязвимость в продукте Rapid7 Nexpose, которая позволяет злоумышленникам c низкими привилегиями в системе получать неавторизованный доступ к ресурсам и данным. Уязвимость присутствует в компонентах Security Console версии 6.6.48 и ниже.

rapid7

Продукт Nexpose — это инструмент для управления уязвимостями, который позволяет компаниям оперативно выявлять бреши в защите их инфраструктуры.

Уязвимость CVE-2020-7383 позволяет провести атаку типа «внедрение SQL-кода», в результате чего авторизованный злоумышленник может получить доступ к некоторым данным, хранящимся в базе данных. Они могут включать в себя информацию о найденных уязвимостях, проведенных сканированиях, политиках. Также используя внедрение SQL-кода атакующий может проводить DoS-атаки на базу данных, что приводит к нарушению нормальной работы веб-интерфейса.

«Данная уязвимость позволяет авторизованному злоумышленнику получить доступ к некоторым данным, хранящимся в базе данных, изменять их или добавлять новые записи, — рассказывает Михаил Ключников. — Причем эксплуатировать ошибку можно даже обладая низкими привилегиями в системе — это позволит получить доступ к данным, которые не должны видеть пользователи с таким уровнем прав».

Уязвимость получила оценку 6,5, что соответствует среднему уровню опасности. Разработчик продукта Nexpose, компания Rapid7, опубликовала обновления, в которых ошибка исправлена.

Темы:КибербезопасностьПресс-релизPositive TechnologiesОтрасльRapid7
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...