پلتفرم IBM Watson Message Gateway نسبت به سرریز بافر و اجرای کد دلخواه آسیبپذیر است. دلیل این آسیبپذیری به دلیل عدم صحت سنجی در فرآیند درخواستهای HTTP میباشد و باعث ممانعت از سرویس میشود.
شناسه آسیبپذیری: CVE-2020-4207
سطح ریسک: بحرانی
CVSS:3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H
سیستمهای آسیبپذیر:
IBM Watson message Gateway 2.0.0.x, 5.0.0.0, 5.0.0.1, and 5.0.0.2
نیازمندی تعامل کاربر: خیر
سال شناسایی: ۲۰۲۰
معرفی IBM Watson message Gateway:
پلتفرم IBM Watson IoT Message Gateway به کسب و کارها کمک می نماید تا از قابلیت های کلان دادههای ایجاد شده از طریق حسگرها و تجهیزات IoT استفاده نمایند. با استفاده از این پلتفرم، میتوان ارتباطات و اتصالات شبکهای میان تجهیزات و سنسورها را مدیریت نمود.
سرریز بافر زمانی اتفاق میافتد که برنامه تلاش میکند اطلاعات بیشتر در بافر قرار دهد و یا زمانی که اطلاعات اضافی خارج از محدوده تعریف شده حافظه در ذخیره میگردد. یکی از دلایل رایج این اتفاق به این دلیل است که برنامه اطلاعات بافر را بدون اینکه طول اطلاعات را بررسی کند کپی میکند.
در مورد پلتفرم IBM Watson IoT Message Gateway ، با ارسال درخواست HTTP با سرآیند تغییریافته مورد نظر مهاجم، حمله کننده از راه دور میتواند باعث سرریز بافر شود و کد دلخواه خودش را روی سیستم اجرا کند و باعث ایجاد ممانعت از سرویس میشود(DoS). شرکت IBM وصله امنیتی مربوطه جهت به روز رسانی را ارایه نموده است که توصیخ نموده است پیش از به روز رسانی، حتما نسخه پشتیبان تهیه گردد.
