Gentoo Soko’da, savunmasız sistemlerde uzaktan kod yürütülmesine (RCE) yol açabilecek birden çok SQL enjeksiyon güvenlik açığı ifşa edildi.
SonarSource araştırmacısı Thomas Chauchefoin, “Bu SQL enjeksiyonları, Nesne-İlişkisel Eşleme (ORM) kitaplığı ve hazırlanmış ifadelerin kullanılmasına rağmen gerçekleşti.” söz konusubunların “veritabanının yanlış yapılandırılması” nedeniyle Soko’da RCE ile sonuçlanabileceğini de sözlerine ekledi.
bu iki sorunlarSoko’nun arama özelliğinde keşfedilen , toplu olarak CVE-2023-28424 (CVSS puanı: 9.1) olarak izlendi. Bunlar, 17 Mart 2023’teki sorumlu açıklamanın ardından 24 saat içinde ele alındı.
Soko, güç sağlayan bir Go yazılım modülüdür. package.gentoo.orgkullanıcılara Gentoo Linux dağıtımı için mevcut olan farklı Portage paketlerinde arama yapmak için kolay bir yol sunar.
Ancak hizmette tespit edilen eksiklikler, kötü niyetli bir aktörün özel hazırlanmış kodu enjekte edinhassas bilgilerin açığa çıkmasına neden olur.
SonarSource, “SQL enjeksiyonları istismar edilebilirdi ve PostgreSQL sunucusunun sürümünü ifşa etme ve sistemde rasgele komutları yürütme yeteneğine sahipti.”
Geliştirme, SonarSource’tan aylar sonra gelir açıkta Odoo adlı açık kaynaklı bir iş paketinde, savunmasız bir Odoo örneğinde herhangi bir kurbanın kimliğine bürünmek ve değerli verileri sızdırmak için kullanılabilen siteler arası komut dosyası çalıştırma (XSS) kusuru.
Bu yılın başlarında, aşağıdakiler gibi açık kaynaklı yazılımlarda güvenlik zayıflıkları da ortaya çıktı: pretalks Ve AçıkEMR bu, uzaktaki saldırganların rastgele kod yürütmesinin önünü açabilir.