أطلقت شركة سيسكو تصحيحًا لثغرة أمنية بالغة الخطورة في واجهة برمجة التطبيقات REST الخاصة بـ Cisco Secure Workload. الثغرة، التي حصلت على درجة 10.0 في نظام CVSS، تعرض البيانات الحساسة للخطر من خلال السماح بالوصول غير المصرح به عبر التحقق غير الصحيح من الطلبات. يمكن لمهاجم عن بُعد غير موثوق قراءة أو تعديل المعلومات في قاعدة البيانات. في foro3d.com، نوصيك بالتحديث في أقرب وقت ممكن.
التحقق من واجهة برمجة التطبيقات: الخطأ الذي يفتح الباب لقاعدة البيانات 🔓
المشكلة التقنية تكمن في أن واجهة برمجة التطبيقات REST لـ Cisco Secure Workload لا تتحقق بشكل صحيح من الطلبات الواردة. وهذا يسمح لمهاجم عن بُعد، دون الحاجة إلى بيانات اعتماد، بتنفيذ عمليات على قاعدة البيانات الأساسية. نظرًا لعدم تصفية الطلبات أو المصادقة عليها بشكل صحيح، تمنح الثغرة وصولًا للقراءة والكتابة إلى البيانات الحساسة. توصي سيسكو بتطبيق التصحيح المتاح عبر قنوات الدعم الخاصة بها لتخفيف خطر التعرض الكامل.
تصحيح عاجل: لأن ترك الباب مفتوحًا ليس فكرة جيدة 🚪
تذكرنا سيسكو أنه في بعض الأحيان، الأمان يشبه ترك المفتاح في قفل المنزل ولكن مع لافتة تقول تفضل بالدخول. واجهة برمجة التطبيقات REST لـ Secure Workload، بعدم التحقق من الطلبات، كانت تدعو أي شخص للتجول في قاعدة البيانات كما لو كان سوقًا للسلع الرخيصة. إذا لم تقم بالتحديث، فقد تنتهي معلوماتك الحساسة في أيدي شخص غريب، والذي، علاوة على ذلك، لن يضطر لدفع ثمن الدخول.