Plateforme
other
Composant
logsign-unified-secops-platform
Corrigé dans
6.4.21
Une vulnérabilité d'accès arbitraire de fichiers a été découverte dans Logsign Unified SecOps Platform. Cette faille permet à un attaquant authentifié de supprimer des fichiers arbitraires sur le système. Elle affecte les versions 6.4.20–6.4.20 et a été corrigée dans la version 6.4.23. Une mise à jour est fortement recommandée.
Cette vulnérabilité permet à un attaquant authentifié d'exploiter une absence de validation correcte des chemins d'accès fournis par l'utilisateur, conduisant à la suppression de fichiers arbitraires. L'attaquant doit être authentifié pour exploiter la faille, mais une fois authentifié, il peut potentiellement supprimer des fichiers critiques du système, y compris ceux appartenant à l'utilisateur root. La suppression de fichiers système essentiels pourrait entraîner une perte de données, une corruption du système ou une interruption de service. L'impact est aggravé par le fait que le service HTTP API écoute sur le port TCP 443 par défaut, ce qui le rend accessible depuis le réseau.
La vulnérabilité CVE-2024-7601 a été publiée le 21 août 2024. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification préalable. Aucun PoC public n'est actuellement disponible, mais la nature de la vulnérabilité (accès arbitraire de fichiers) la rend potentiellement exploitable.
Organizations heavily reliant on Logsign Unified SecOps Platform for security monitoring and incident response are at significant risk. Specifically, deployments with weak access controls or those using default configurations are particularly vulnerable. Shared hosting environments where multiple users share the same Logsign instance also face increased risk.
• linux / server:
journalctl -u logsign | grep -i "data_export_delete_all"• generic web:
curl -I https://<logsign_ip>:443/api/data_export_delete_all?path=/etc/passwd | grep -i "200 OK"disclosure
Statut de l'Exploit
EPSS
1.36% (percentile 80%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour Logsign Unified SecOps Platform vers la version 6.4.23 ou ultérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place. Il est recommandé de restreindre l'accès au service HTTP API aux seuls utilisateurs autorisés. La configuration d'un pare-feu applicatif web (WAF) pour bloquer les requêtes contenant des séquences de caractères suspectes (par exemple, '..') peut également aider à atténuer le risque. Surveillez attentivement les journaux du système pour détecter toute activité suspecte, en particulier les tentatives de suppression de fichiers.
Actualice Logsign Unified SecOps Platform a la versión 6.4.23 o posterior. Esta actualización corrige la vulnerabilidad de eliminación arbitraria de archivos mediante la validación adecuada de las rutas proporcionadas por el usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-7601 is a vulnerability allowing authenticated attackers to delete arbitrary files on Logsign Unified SecOps Platform servers, potentially leading to data loss or system compromise.
You are affected if you are running Logsign Unified SecOps Platform versions 6.4.20–6.4.20. Upgrade to 6.4.23 or later to mitigate the risk.
Upgrade Logsign Unified SecOps Platform to version 6.4.23 or later. Implement temporary workarounds like restricting API access and file access controls if an immediate upgrade is not possible.
There is no confirmed active exploitation of CVE-2024-7601 at this time, but the vulnerability's simplicity suggests potential for exploitation.
Refer to the Logsign security advisory for detailed information and updates regarding CVE-2024-7601: [https://www.logsign.com/security-advisory/](https://www.logsign.com/security-advisory/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.