Đầu tiên là lỗ hổng leo thang đặc quyền CVE-2024-23537 được đánh giá mức “quan trọng”. Lỗ hổng này có thể cho phép người dùng leo thang đặc quyền lên bất kỳ vai trò nào trong hệ thống, từ đó cho phép truy cập và kiểm soát trái phép, liên quan đến tính bảo mật dữ liệu và tính toàn vẹn của các hoạt động tài chính chạy trên nền tảng.
Tiếp theo là 2 lỗ hổng SQL Injection CVE-2024-23538 và CVE-2024-23539. Đáng chú ý là CVE-2024-23539 được đánh giá mức “nghiêm trọng”.
Các lỗ hổng này là do việc vô hiệu hóa không đúng cách các phần tử đặc biệt trong lệnh SQL, khiến tham số sqlSearch trở thành một vectơ mạnh cho các cuộc tấn công SQL Injection, từ đó cho phép kẻ tấn công thao túng các truy vấn cơ sở dữ liệu. Cụ thể là đánh cắp dữ liệu hoặc can thiệp giao dịch trái phép, liên quan đến tính toàn vẹn của nền tảng và làm lung lay niềm tin của khách hàng.
Các tổ chức tài chính trên toàn thế giới đang sử dụng Apache Fineract đều bị ảnh hưởng bởi 3 lỗ hổng trên. Vì vậy, Apache khuyến cáo quản trị viên nên cập nhật lên phiên bản 1.8.5 hoặc 1.9.0 và đánh giá kỹ lưỡng cấu hình hệ thống để tránh rủi ro an ninh mạng.
Add Comment