CA Technologies исправила множественные уязвимости в CA Release Automation

Одна из крупнейших компаний-производителей ПО в мире CA Technologies выпустила исправление для CA Release Automation, устраняющее множественные уязвимости в продукте. По данным бюллетеня, опубликованного на сайте компании, уязвимостям оказалась подвержена CA Release Automation 4.7.1 Build 413 и более ранние версии, работающие под управлением Windows, Linux или Solaris.

Первая брешь позволяла удаленному пользователю осуществить CSRF-нападение. Удаленный пользователь мог выполнять произвольные действия на уязвимой системе с привилегиями авторизованного пользователя. Брешь получила идентификатор CVE-2014-8246.

Вторая уязвимость (CVE-2014-8247) позволяла осуществить XSS-атаку. По данным бюллетеня на сайте CERT/CC, брешь существовала из-за ошибки в выводе сообщения об ошибке.

Третья уязвимость (CVE-2014-8248) позволяла злоумышленникам осуществить SQL-инъекцию. Удаленный пользователь с обычной учетной записью мог получить доступ к важным данным с помощью специально сформированного SQL-запроса.

Для устранения уязвимостей разработчик советует установить последнюю версию продукта.