Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
Vulnerabilità 3CX: la compagnia chiede ai clienti di disabilitare le integrazioni coi database
Pochi giorni fa 3CX, fornitore di soluzioni per i centralini telefonici e videoconferenze, ha esortato i propri clienti a disabilitare alcune integrazioni coi database a causa di una vulnerabilità presente in alcune configurazioni.
Le integrazioni colpite sono quelle con MongoDB, MsSQL, MySQL e PostgreSQL. La compagnia ha spiegato che si tratta di una disattivazione temporanea in attesa che venga rilasciata una patch di sicurezza. Le versioni della piattaforma di 3CX colpite dalla vulnerabilità sono la 18 e la 20.
Per disattivare l’integrazione è sufficiente accedere alle impostazioni del CRM dalla console di gestione e selezionare “Nessuna” tra le soluzioni proposte. Le integrazioni CRM web-based non sono vulnerabili.
In un post sul blog dell’azienda Nick Galea, CEO di 3CX, ha spiegato che i template di integrazione “possono essere soggetti ad attacchi di SQL injection se il server 3CX è raggiungibile dal web e non ci sono firewall a proteggere la macchina”; in caso di attacco, gli aggressori possono manipolare le query sul database per esfiltrare o compromettere i dati presenti.
L’azienda ha rilasciato un hotfix pochi giorni dopo l’avviso di sicurezza e ha invitato i propri clienti ad aggiornare la piattaforma. La soluzione prevede un template SQL per costruire query parametrizzate ed evitare la SQL injection. “In generale consigliamo fortemente di utilizzare API web moderne e sicure, non query SQL dirette” scrive Galea.
La compagnia ha specificato che attualmente solo lo 0.25% dei suoi clienti ha il database SQL integrato e che la configurazione vulnerabile è di vecchia data; in ogni caso è importante che questi clienti aggiornino il software il prima possibile o disabilitino l’integrazione se non strettamente necessaria.
Condividi l'articolo
Scoperta NKAbuse, la piattaforma che sfrutta il protocollo NKN per creare botnet
CERT-AGID: ecco le campagne malevole nella settimana del 09/15 Dicembre 2023
Articoli correlati
Altro in questa categoria
Approfondimenti
Minacce recenti
Off topic
Post recenti
Ransomware: la serie
No posts found.
