ចន្លោះប្រហោង SSRF នៅក្នុងកម្មវិធី VMWare authentication software អនុញ្ញាតអោយចូលទៅកាន់ទិន្នន័យរបស់អ្នកប្រើប្រាស់

ចន្លោះប្រហោង server-side request forgery (SSRF) នៅក្នុង version ជាច្រើនរបស់កម្មវិធី VMWare authentication software អនុញ្ញាតអោយអ្នកវាយប្រហារអាចប្រើប្រាស់សិទ្ធជាអ្នកគ្រប់គ្រង JSON Web Tokens (JWT) បាន។ ចន្លោះប្រហោង SSRF bug នេះត្រូវបានរកឃើញនៅក្នុង VMware Workspace ONE Access ( ឬ Identity Manager) ដែលផ្តល់នូវមុខងារ multi-factor authentication, conditional access និង single sign-on ទៅជា SaaS, web និង native mobile apps ។

image

ចន្លោះប្រហោងនេះមានលេខកូដ CVE-2021-22056 ដែលអនុញ្ញតអោយអ្នកវាយប្រហារចូលទៅស្នើសុំ HTTP requests បាន។ អ្នកស្រាវជ្រាវ Shubham Shah និង Keiran Sampson ដែលរកឃើញនូវចន្លោះប្រហោងនេះនិយាយថា វាអនុញ្ញាតអោយមានការបែកធ្លាយទៅលើ JWTs ដែលហេគឃ័រអាចគ្រប់គ្រងពេញលេញនៅលើប្រព័ន្ធដែលរងគ្រោះបាន។

ពេលនេះ ក្រុមហ៊ុន VMWare បានធ្វើការ Patch ទៅលើចន្លោះប្រហោងនេះនៅក្នុង version ចុងក្រោយបំផុតនៃកម្មវិធី enterprise software របស់ខ្លួន។ លោក Shah និង Sampson ក៏អរគុណដល់ក្រុមហ៊ុននេះដែលខិតខំប្រឹងប្រែងក្នុងការឆ្លើយតបទៅនឹងបញ្ហានេះភ្លាមៗផងដែរ៕

Leave a Reply

Your email address will not be published. Required fields are marked *