现在修补的表达注射缺损将门打开到众多漏洞
影响QLIK制造的TRIO软件产品的漏洞,数据分析平台可以允许攻击者通过读取用户的本地文件beplay体育能用吗WebSockets.。
缺陷(CVE-2019-11628),在Qlik Sense Enterprise,QlikView Server和QLik Analytics平台中发现了表达注射漏洞,报告TrustWave Spiderlabs.。
根据安全公司的说法,表达的执行可能导致服务器端请求伪造(SSRF.),任意文件读取,未经授权信息披露。
攻击者可以通过使用JavaScript制作WebSocket请求来利用这一点。beplay体育能用吗
脚本连接到应用程序并将消息与有效载荷发送以读取C:/programdata/foo/readme.txt.文件服务器上的文件,Spiderlabs解释说明。
这将文件内容暴露给恶意演员。
“通过更改有效载荷变量,可以阅读所有其他文件以及一些系统信息,如计算机名称,操作系统,文档路径等”spiderlabs的安全咨询读取。
在3月份提醒漏洞后,Qlik少于一个月,向所有可能受影响的服务推出安全更新。
建议用户参考公司的支持页面,以确保他们运行最新(修补的)QLik Sense Enterprise,QlikView Server和QLik Analytics平台的版本。
