Vulnerabilidade de implantação/inicialização do HCL DevOps permite incorporar tags HTML arbitrárias.
Recentemente identificada por pesquisadores de segurança, surgiu uma nova vulnerabilidade no HCL DevOps Deploy e no HCL Launch, permitindo que os usuários incorporem tags HTML arbitrárias na interface do usuário da Web.
Essa vulnerabilidade, rastreada como CVE-2024-42195, representa um risco potencial de divulgação de informações confidenciais a indivíduos não autorizados.
Abaixo, fornecemos uma análise detalhada dos produtos e versões afetados, a natureza da vulnerabilidade e as ações recomendadas para mitigar o risco.
Detalhes da vulnerabilidade
A vulnerabilidade permite que os invasores injetem conteúdo HTML arbitrário na interface do usuário da Web do HCL DevOps Deploy e do HCL Launch.
Se explorado com sucesso, isso pode levar à exposição de informações confidenciais, possivelmente afetando a integridade e a confidencialidade dos dados dos usuários que interagem com essas plataformas.
A pontuação CVSS relativamente baixa indica que, embora o impacto potencial da exploração possa ser grave em certas configurações, a complexidade da exploração bem-sucedida é alta, exigindo privilégios mais baixos e nenhuma interação do usuário.
Produtos e versões afetados
A tabela a seguir descreve as versões específicas do produto afetadas por essa vulnerabilidade:
| Produto(s) afetado(s) | Versão(ões) |
| Lançamento da HCL | 7.0 – 7.0.5.24 |
| Lançamento da HCL | 7.1 – 7.1.2.20 |
| Lançamento da HCL | 7.2 – 7.2.3.13 |
| Lançamento da HCL | 7.3 – 7.3.2.8 |
| Implantação de DevOps HCL | 8.0 – 8.0.1.3 |
O HCLSoftware recomenda que os usuários atualizem seus sistemas para as versões corrigidas mais recentes para mitigar essa vulnerabilidade:
- Lançamento da HCL: Atualize para as versões 7.0.5.25, 7.1.2.21, 7.2.3.14, 7.3.2.9
- Implantação do HCL DevOps: Atualize para a versão 8.0.1.4 ou superior
Essas atualizações podem ser acessadas por meio do Portal de Licença e Download de Software HCL. As organizações devem aplicar esses patches imediatamente para proteger seus ambientes contra possíveis explorações.
Atualmente, não há soluções alternativas ou mitigações alternativas. Os usuários são fortemente encorajados a aplicar as atualizações recomendadas como o principal método de resolver esse problema.
Fonte: GBHackers
Veja também:
- Proteção de dados e IA são tendências de cibersegurança em 2025
- Alerta de vulnerabilidades: Microsoft, Facebook e WordPress
- 1 milhão de jogadores em risco
- Setor financeiro é alvo principal de cibercriminosos
- Estrutura de Confiança Zero redefine a segurança do provedor de serviços gerenciados
- Golpe da CNH expõe motoristas a roubo de dados
- Campanha do Burger King fere a LGPD?
- Ameaças cibernéticas em apps de streaming móvel
- Zabbix alerta para aplicação de atualização Crítica
- Ransomware Frag Usa Falha no Veeam
- Número de ciberataques cresce 95% no Brasil
- Cresce o volume de ações na Justiça ligadas a SI
Be the first to comment