• 尚無留言

近期，國家安全局 (NSA) 的 ‘SkillTree’ 培訓平台被發現存在一個嚴重的漏洞，可能對使用該平台的用戶構成威脅。

事件詳情

這次發現的漏洞編號為 CVE-2024-39326，該漏洞影響了 ‘SkillTree’ 平台中的多個版本。該漏洞允許攻擊者在特定條件下執行任意代碼，進而完全控制受影響的系統。資安研究人員指出，這個漏洞特別危險，因為它可能被遠端攻擊者利用，並對用戶資料造成嚴重影響。

‘SkillTree’ 是 NSA 用於內部培訓和技能發展的平台，涉及機密訊息和敏感資料。這個漏洞的曝光可能使攻擊者有機會取得這些機密訊息，對國家安全構成重大威脅。根據報告，這個漏洞涉及到系統的驗證機制，允許未經授權的用戶繞過安全控制，進而執行高級權限操作。

影響和風險

1. 資料洩露：攻擊者可以利用這個漏洞取得 ‘SkillTree’ 平台中的機密訊息，包括用戶資料和培訓內容，對國家安全和個人隱私構成威脅。
2. 系統控制權失陷：成功利用這個漏洞的攻擊者可以完全控制受影響的系統，進行惡意操作，如竊取資料或安裝其他惡意軟體。

防範措施

資安專家建議，所有使用 ‘SkillTree’ 平台的用戶應立即更新至最新版本，以修補這個漏洞。此外，應加強系統的安全配置，使用多重驗證機制來提高安全性，並定期進行安全檢查以防範潛在的攻擊。

RCS 提供全面的 源碼檢測 和 網站弱點評估 服務，幫助企業和機構識別並修補安全漏洞，保障數位資產的安全。