Perl தொகுதி விரிதாளில் ஒரு முக்கியமான பாதிப்பு (CVE-2023-7101) கண்டறியப்பட்டுள்ளது::ParseExcel, Excel கோப்புகளை பாகுபடுத்துவதற்கான செயல்பாடுகளை வழங்குகிறது, இது XLS அல்லது XLSX கோப்புகளை செயலாக்கும்போது தன்னிச்சையான குறியீட்டை செயல்படுத்த அனுமதிக்கிறது. "eval" அழைப்பை உருவாக்கும் போது செயலாக்கப்படும் கோப்பிலிருந்து பெறப்பட்ட தரவைப் பயன்படுத்துவதால் பாதிப்பு ஏற்படுகிறது. விரிதாள் ::ParseExcel 0.66 புதுப்பிப்பில் சிக்கல் சரி செய்யப்பட்டது. சுரண்டலின் முன்மாதிரி உள்ளது. பாதிக்கப்படக்கூடிய குறியீடு: என்றால் ($format_str =~ /^\[([<>=][^\]]+)\](.*)$/ ) {$conditional = $1; $format_str = $2; } ... $section = eval "$number $conditional" ? 0 : 1; Whoami கட்டளையை செயல்படுத்துவதற்கான ஒரு எடுத்துக்காட்டு: 1;system('whoami > /tmp/inject.txt')]123″/ >
Barracuda ESG (மின்னஞ்சல் பாதுகாப்பு நுழைவாயில்) சாதனங்களில் தீம்பொருளை வைப்பதற்கான தாக்குதலின் பகுப்பாய்வின் போது இந்த பாதிப்பை Barracuda Networks கண்டறிந்தது. எக்செல் வடிவத்தில் மின்னஞ்சல் இணைப்புகளை அலசுவதற்கு Barracuda ESG இல் பயன்படுத்தப்படும் விரிதாளில்::ParseExcel தொகுதியில் 0-நாள் பாதிப்பு (CVE-2023-7102) இருந்தது. Barracuda ESGஐப் பயன்படுத்தி கணினிகளில் உங்கள் குறியீட்டை இயக்க, சிறப்பாக வடிவமைக்கப்பட்ட மின்னஞ்சல் இணைப்புடன் மின்னஞ்சலை அனுப்பினால் போதும்.
ஆதாரம்: opennet.ru