【安全资讯】CVE-2021-44207:Acclaim USAHERDS中的漏洞被积极利用,CISA发出警告
概要:
美国网络安全和基础设施安全局(CISA)近日发出警告,指出Acclaim USAHERDS网络应用程序中存在一个严重的安全漏洞。该漏洞被正式标记为CVE-2021-44207,CVSS严重性评分为8.1,已被纳入CISA的已知被利用漏洞(KEV)目录,表明其在实际环境中被积极利用。主要内容:
CVE-2021-44207影响Acclaim USAHERDS版本7.4.0.1及更早版本,所有在2021年11月之前发布的构建均受到影响。该漏洞的核心在于应用程序中使用了静态的ValidationKey和DecryptionKey值,这些密钥是保护应用程序ViewState功能的关键组件。ViewState机制通过加密验证确保客户端与服务器之间交换数据的完整性。然而,当这些密钥是静态的并且可以被逆向工程或以其他方式暴露时,攻击者可以利用它们构造恶意的ViewState有效负载。一旦成功利用,攻击者可以欺骗服务器反序列化恶意的ViewState数据,从而绕过完整性检查。这种反序列化使攻击者能够在受影响的服务器上执行任意代码,可能会危及整个系统及其相关网络。CISA将CVE-2021-44207添加到其已知被利用漏洞(KEV)目录中,突显了该事件的紧迫性及其可能导致的广泛危害。联邦机构被要求在2025年1月13日之前应用必要的补丁,以降低风险。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享