发现Micro Focus Filr中的关键孔,已堵塞

流行的企业文件管理和协作文件共享解决方案Micro Focus Filr存在着六个安全漏洞,其中大多数可以利用–单独或串联–接管(虚拟)设备的控制权。

微聚焦滤镜

那里’s跨站点请求伪造和OS命令注入漏洞,持久的跨站点脚本和身份验证绕过漏洞,路径遍历和本地权限提升(通过不安全的文件权限)漏洞。

除了最后一个固定在6月的东西外,所有其他东西现在都已插入。

SEC咨询顾问Wolfgang Ettlinger发现了这些缺陷。他还向开发团队指出了一些有问题的设计选择,并且缺少某些cookie标志。这些问题中的一些已得到解决,而其他一些将在以后的版本中发布,因为需要进行更复杂的工作。

可以找到有关这些漏洞的更多详细信息以及每个漏洞的PoC攻击代码。 这里 .

SEC Consult已协调释放漏洞’Micro Focus的详细信息,该工具在星期五发布了针对这些缺陷的补丁程序。

建议用户实施 安全 更新 尽早。

这些缺陷是在“快速的安全检查。”该公司必须确保注意到,由于他们没有进行彻底的技术安全检查,因此他们“无法就Micro Focus Filr设备的整体安全性发表声明。”

分享这个