研究人員曝光 Linux 發(fā)行版 Gentoo 存在重大漏洞，黑客可進(jìn)行 SQL 注入攻擊

IT之家 7 月 3 日消息，網(wǎng)絡(luò)安全公司 SonarSource 在日前研究中發(fā)現(xiàn)，Gentoo Linux 發(fā)行版中存在漏洞 CVE-2023-28424，黑客可以利用該漏洞進(jìn)行 SQL 注入攻擊。

研究人員從 GentooLinux 的 Soko 搜索組件中找到了這個(gè)漏洞。該漏洞的 CVSS 風(fēng)險(xiǎn)評(píng)分為 9.1，屬于特別重大漏洞，GentooLinux 開發(fā)團(tuán)隊(duì)已經(jīng)于漏洞曝出 24 小時(shí)內(nèi)進(jìn)行了修復(fù)。

據(jù)悉，Soko 組件是一個(gè)公共 API，在搜索系統(tǒng)中的軟件包時(shí)，可以提供更高的效率，并可以進(jìn)行軟件源的錯(cuò)誤跟蹤和溯源。

該漏洞發(fā)生的原因，主要是“數(shù)據(jù)庫組態(tài)配置不當(dāng)”，即使是在套用了對(duì)象關(guān)系映射（Object-RelationalMapping）的情況下，攻擊者依然可以利用該漏洞進(jìn)行 SQL 注入，從而在受害者的設(shè)備上運(yùn)行相應(yīng)惡意代碼，目前該漏洞已經(jīng)被修復(fù)，感興趣的IT之家小伙伴們可以在這里找到報(bào)告的更多內(nèi)容。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。