Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Устранена уязвимость в сканере безопасности Rapid7 Nexpose, найденная экспертом Positive Technologies

26/10/20

Эксперт Positive Technologies Михаил Ключников выявил уязвимость в продукте Rapid7 Nexpose, которая позволяет злоумышленникам c низкими привилегиями в системе получать неавторизованный доступ к ресурсам и данным. Уязвимость присутствует в компонентах Security Console версии 6.6.48 и ниже.

rapid7

Продукт Nexpose — это инструмент для управления уязвимостями, который позволяет компаниям оперативно выявлять бреши в защите их инфраструктуры.

Уязвимость CVE-2020-7383 позволяет провести атаку типа «внедрение SQL-кода», в результате чего авторизованный злоумышленник может получить доступ к некоторым данным, хранящимся в базе данных. Они могут включать в себя информацию о найденных уязвимостях, проведенных сканированиях, политиках. Также используя внедрение SQL-кода атакующий может проводить DoS-атаки на базу данных, что приводит к нарушению нормальной работы веб-интерфейса.

«Данная уязвимость позволяет авторизованному злоумышленнику получить доступ к некоторым данным, хранящимся в базе данных, изменять их или добавлять новые записи, — рассказывает Михаил Ключников. — Причем эксплуатировать ошибку можно даже обладая низкими привилегиями в системе — это позволит получить доступ к данным, которые не должны видеть пользователи с таким уровнем прав».

Уязвимость получила оценку 6,5, что соответствует среднему уровню опасности. Разработчик продукта Nexpose, компания Rapid7, опубликовала обновления, в которых ошибка исправлена.

Темы:КибербезопасностьПресс-релизPositive TechnologiesОтрасльRapid7
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...