రిమోట్ కోడ్ ఎగ్జిక్యూషన్ దుర్బలత్వాన్ని పెంచే ప్రత్యేక హక్కు సాఫ్ట్నాస్ ఇన్కార్పొరేటెడ్ యొక్క క్లౌడ్ డేటా మేనేజ్మెంట్ ప్లాట్ఫామ్లో కనుగొనబడింది భద్రతా బులెటిన్ సంస్థ ప్రచురించింది. వెబ్ అడ్మినిస్ట్రేషన్ కన్సోల్లో హాని ఉన్నట్లు కనుగొనబడింది, ఇది హానికర హ్యాకర్లు అధికారం యొక్క అవసరాన్ని దాటవేస్తూ రూట్ అనుమతులతో ఏకపక్ష కోడ్ను అమలు చేయడానికి అనుమతిస్తుంది. అటువంటి పనుల ధృవీకరణ మరియు అమలుకు బాధ్యత వహించే ప్లాట్ఫారమ్లోని ఎండ్పాయింట్ స్న్సర్వ్ స్క్రిప్ట్లో ఈ సమస్య ప్రత్యేకంగా కనిపిస్తుంది. దుర్బలత్వానికి లేబుల్ కేటాయించబడింది CVE-2018-14417 .
కోర్ సెక్యూరిటీ SDI కార్పొరేషన్ యొక్క సాఫ్ట్నాస్ క్లౌడ్ అనేది ఎంటర్ప్రైజ్-గేర్డ్ నెట్వర్క్-స్టిమ్యులేటెడ్ డేటా స్టోరేజ్ సిస్టమ్, ఇది అమెజాన్ వెబ్ సర్వీసెస్ మరియు మైక్రోసాఫ్ట్ అజూర్ వంటి అతిపెద్ద విక్రేతలకు క్లౌడ్ మద్దతును అందిస్తుంది, అదే సమయంలో నెట్ఫ్లిక్స్ ఇంక్. లిమిటెడ్, టయోటా మోటార్ కో, ది కోకాకోలా కో, మరియు ది బోయింగ్ కో. నిల్వ సేవ NFS, CIFS / SMB, iSCSI, మరియు AFP ఫైల్ ప్రోటోకాల్లకు మద్దతు ఇస్తుంది మరియు అత్యంత సమగ్రమైన మరియు నియంత్రిత సంస్థ నిల్వ మరియు డేటా సేవ కోసం చేస్తుంది ఈ పద్ధతిలో పరిష్కారం. అయితే, ఈ దుర్బలత్వం లక్ష్య సర్వర్లో హానికరమైన ఆదేశాలను అమలు చేయడానికి రిమోట్ హ్యాకర్ను అనుమతించడానికి వినియోగదారు అనుమతులను పెంచుతుంది. ఎండ్పాయింట్లో ప్రామాణీకరణ విధానం ఏదీ లేదు మరియు ఆపరేషన్ చేయడానికి ముందు snserv స్క్రిప్ట్ ఇన్పుట్ను శుభ్రపరచదు కాబట్టి, హ్యాకర్ ఎటువంటి సెషన్ ధృవీకరణ అవసరం లేకుండా అనుసరించగలడు. వెబ్సర్వర్ ఒక సుడోయర్ వినియోగదారుపై పనిచేస్తున్నందున, హ్యాకర్ ఏదైనా హానికరమైన కోడ్ను అమలు చేయడానికి రూట్ అనుమతులను మరియు పూర్తి ప్రాప్యతను పొందవచ్చు. ఈ దుర్బలత్వం స్థానికంగా మరియు రిమోట్గా దోపిడీకి గురిచేస్తుంది మరియు దోపిడీ యొక్క క్లిష్టమైన ప్రమాదంలో శ్రేణి చేయబడింది.
ఈ దుర్బలత్వాన్ని మే నెలలో కోర్ సెక్యూరిటీ ఎస్డిఐ కార్పొరేషన్ దృష్టికి తీసుకువచ్చారు మరియు అప్పటి నుండి భద్రతా సంస్థ వెబ్సైట్లో ప్రచురించబడిన సలహాదారులో దీనిని పరిష్కరించారు. సాఫ్ట్నాస్ కోసం ఒక నవీకరణ కూడా విడుదల చేయబడింది. అనధికార హానికరమైన కోడ్ ఇంజెక్షన్ దాడి యొక్క పరిణామాలను తగ్గించడానికి వినియోగదారులు తమ వ్యవస్థలను ఈ తాజా సంస్కరణకు అప్గ్రేడ్ చేయాలని అభ్యర్థించారు: 4.0.3.
