研究人员发现RESI Gemini-Net产品中存在两个严重级零日漏洞

《SecurityAffairs》2022年6月6日报道,意大利Red Team Research(RTR)的安全研究人员在RESI公司的信息化解决方案Gemini-Net中发现了两个严重级零日漏洞,漏洞编号为CVE-2022-29539和CVE-2022-29538。RESI Gemini-Net是意大利RESI公司的一种用于通信网络和服务的主动和被动监控的技术,能够优化网络上的资源和数据流量,并具有集成、模块化和可扩展的特点,被广泛应用于许多大型企业和政府机构。研究人员表示,上述漏洞是在RTR团队开展的“Bug Hunting(漏洞狩猎)”活动中发现的,CVE-2022-29539漏洞的产生主要源于Gemini-Net缺乏对用户输入的验证,攻击者能够利用绕过软件预期的语法,以user的权限注入任意系统命令;CVE-2022-29538则是源于授权逻辑中访问控制不当,可能允许攻击者访问一些关键资源。