Versa Networks закърпва уязвимост, разкриваща токени за удостоверяване

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Versa Networks обяви кръпки за уязвимост в платформата за виртуализация и създаване на услуги Versa Director, като предупреди, че съществува код за доказване на концепцията (PoC) за нея.

Проследена като CVE-2024-45229 (CVSS оценка 6,6), уязвимостта е свързана с REST API във Versa Director, който се използва за оркестриране и управление, и може да доведе до разкриване на токени за удостоверяване.

Някои от тези API, включително  използваните за екрана за вход, показването на банери и регистрацията на устройства, не изискват удостоверяване по подразбиране.

„Въпреки това беше установено, че за Versa Director, които са директно свързани с интернет, един от тези API може да бъде използван чрез инжектиране на невалидни аргументи в заявка GET, което потенциално излага на риск токените за удостоверяване на други потребители, които в момента са влезли в системата“, обяснява Versa в консултативния документ.

Нападател, който е в състояние да получи токените на други потребители, може след това да ги използва, за да извика допълнителни API на порт 9183, обяснява компанията за управление на мрежи.

Versa отбелязва, че уязвимостта не може да бъде използвана за разкриване на потребителски имена и пароли и че ако Versa Director е разположен зад защитна стена или API шлюз, решението за сигурност „може да бъде използвано за блокиране на достъпа до URL адресите на уязвимите API“.

„Тази уязвимост не може да бъде използвана на Versa Director, които не са изложени към интернет. Потвърдихме, че нито един главен сървър, хостван от Versa, не е бил засегнат от тази уязвимост“, твърди компанията.

Versa пусна горещи поправки за версиите на Director 22.1.4, 22.1.3, 22.1.2 и 21.2.3 и препоръчва на всички потребители да актуализират до най-новите версии възможно най-скоро. Тези, които използват версии на Director 22.1.1 и 21.2.2, трябва да преминат към поправените версии 22.1.3 и 21.2.3.

„Versa Networks не е запозната с тази експлоатация в нито една производствена система. Доказателство за концепцията съществува в лабораторна среда“, казват от компанията.

В петък американската агенция за киберсигурност CISA обърна внимание на препоръката на Versa, като призова организациите да прилагат необходимите актуализации и да издирват всякаква злонамерена дейност в своите среди.

#мрежова сигурност
По материали от Интернет

Подобни

Microsoft отстрани критичен бъг в Windows 11
17.02.2026
Windows_11_blur
Google пусна спешна корекция
16.02.2026
chrome
Как един WiFi достъп може да отвори врати, гаражи и мрежи
14.02.2026
smart-home-2769210_640
Apple коригира zero-day уязвимост в dyld
12.02.2026
apple-7446229_640
Критична уязвимост в AI-Notepad за Windows 11
11.02.2026
block-4914911_640
Microsoft разследва срив, блокиращ достъпа до Microsoft 365 Admin Center
11.02.2026
Microsoft-Office-365

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.