Microsoft, Perforce Helix Core Server’daki dört güvenlik açığından biri olan kritik zafiyet için acil güncelleme çağrısı yaptı.
Perforce Sunucusu, oyun, devlet, askeri ve teknoloji sektörleri dahil birçok alanda kullanılan bir kaynak kodu yönetim platformu. Örneğin Microsoft GitHub’ı yönetmek için kullanmakta.
Zafiyet, 2023.1/2513900 sürümleriyle kapatılmış durumda.
Kritik RCE zafiyeti!
CVE-2023-45849 olarak izlenen ve NIST tarafından 9.8 ve Microsoft tarafından 10 puanla derecelendirilen kritik bir RCE zafiyeti. Saldırganın ağ veya internet üzerinden LocalSystem olarak kod çalıştırmasına izin veriyor.
Sorun ilk kurulumla gelen default kullanıcı!
Varsayılan yapılandırma herhangi bir kullanıcıya PowerShell komut satırlarını LocalSystem olarak çalıştırmalarına izin veriyor. Bu nedenle bu daha çok bir tasarım hatası, yazılımsal bir hata.
Sonuç olarak güncellemelerin zaman kaybedilmeden yapılması büyük önem taşıyor.
Kaynak: theregister.com