BR100 Decreased By (-1.39%)
BR30 Decreased By (-1.72%)
KSE100 Decreased By (-1.3%)
KSE30 Decreased By (-1.25%)
BAFL 56.74 Decreased By ▼ -0.95 (-1.65%)
BIPL 27.04 Decreased By ▼ -0.38 (-1.39%)
BOP 33.68 Decreased By ▼ -0.51 (-1.49%)
CNERGY 9.81 Increased By ▲ 0.19 (1.98%)
DFML 18.52 Decreased By ▼ -0.11 (-0.59%)
DGKC 207.87 Decreased By ▼ -5.16 (-2.42%)
FABL 98.90 Decreased By ▼ -1.89 (-1.88%)
FCCL 53.52 Decreased By ▼ -0.63 (-1.16%)
FFL 16.68 Decreased By ▼ -0.16 (-0.95%)
GGL 23.57 Decreased By ▼ -0.40 (-1.67%)
HBL 304.39 Decreased By ▼ -4.87 (-1.57%)
HUBC 218.11 Decreased By ▼ -3.42 (-1.54%)
HUMNL 10.66 Decreased By ▼ -0.23 (-2.11%)
KEL 7.35 Decreased By ▼ -0.24 (-3.16%)
LOTCHEM 29.11 Decreased By ▼ -1.32 (-4.34%)
MLCF 95.50 Decreased By ▼ -2.66 (-2.71%)
OGDC 317.94 Decreased By ▼ -5.42 (-1.68%)
PAEL 41.83 Decreased By ▼ -0.42 (-0.99%)
PIBTL 16.50 Decreased By ▼ -0.32 (-1.9%)
PIOC 280.01 Decreased By ▼ -5.95 (-2.08%)
PPL 219.74 Decreased By ▼ -4.99 (-2.22%)
PRL 44.59 Increased By ▲ 2.94 (7.06%)
SNGP 107.49 Decreased By ▼ -2.70 (-2.45%)
SSGC 28.93 Decreased By ▼ -0.38 (-1.3%)
TELE 8.76 Decreased By ▼ -0.23 (-2.56%)
TPLP 12.10 Decreased By ▼ -0.67 (-5.25%)
TRG 60.03 Decreased By ▼ -0.42 (-0.69%)
UNITY 10.11 Decreased By ▼ -0.26 (-2.51%)
WTL 1.23 Decreased By ▼ -0.04 (-3.15%)

نیشنل کمپیوٹر ایمرجنسی ریسپانس ٹیم (این سی ای آر ٹی) نے کاروباری اداروں کو ایڈوب کامرس اور میجنٹو اوپن سورس پلیٹ فارمز میں پائی جانے والی ایک انتہائی خطرناک کمزوری کے حوالے سے ہائی پرائیورٹی ایڈوائزری جاری کی ہے۔ اس خامی کو سیشن ریپر کا نام دیا گیا ہے۔

یہ نقص، جسے سی وی ای-2025-54236 کے نام سے ٹریک کیا جا رہا ہے، کوسی وی ایس ایس 9.1 (انتہائی سنگین) درجہ دیا گیا ہے۔ یہ مسئلہ کامرس ریسٹ اے پی آئی میں غیر مناسب ان پٹ ویلیڈیشن کے باعث سامنے آیا ہے۔ اس کا کامیاب استعمال حملہ آوروں کو صارفین کے سیشن ہائی جیک کرنے، غیر مجاز رسائی حاصل کرنے اور مخصوص حالات میں متاثرہ سرورز پر ریموٹ کوڈ ایکزیکیوشن کی سہولت دے سکتا ہے۔

این سی ای آر ٹی کے مطابق یہ کمزوری ایڈوب کامرس، میجنٹو اوپن سورس، بی ٹو بی ایکسٹینشنز اور کسٹم اٹریبیوٹس سیریالائزیبل ماڈیول سمیت متعدد ڈپلائمنٹ میتھڈز کو متاثر کرتی ہے۔ اس سے صارفین کے ڈیٹا کی چوری، ٹرانزیکشنز کے ہائی جیک، اور مکمل سسٹم کے سمجھوتے کا خدشہ ہے۔

اگر اس کا غلط استعمال کیا گیا تو حملہ آور درج ذیل مقاصد حاصل کر سکتے ہیں: صارفین کے اکاؤنٹس پر قبضہ اور حساس معلومات کی چوری، ایسے ماحول میں ریموٹ کوڈ ایکزیکیوشن جہاں فائل بیسڈ سیشن اسٹوریج فعال ہو، چوری شدہ ٹوکنز یا اے پی آئی کیز کے ذریعے پرولیج میں اضافہ، سروس میں خلل ڈال کر ای کامرس آپریشنز کو بڑے پیمانے پر متاثر کرنا۔

این سی ای آر ٹی نے اداروں پر زور دیا ہے کہ وہ فوری طور پر ایمرجنسی ہاٹ فکس وی یو ایل این-32437-2-4-ایکس پیچ لگائیں یا ایڈوب کے تازہ ترین ریلیز (APSB25-88) پر اپ گریڈ کریں۔ اس کے علاوہ ایڈمنسٹریٹر اور اے پی آئی کریڈینشل کو فوراً تبدیل کرنے،ریسٹ اے پی آئی تک رسائی کو صرف قابلِ اعتماد نیٹ ورکس تک محدود کرنے، ڈبلیو اے ایف/آئی ڈی ایس/آئی پی ایس رولز نافذ کرنے، اور لاگز کی نگرانی بڑھانے کی ہدایت دی گئی ہے تاکہ مشکوک لاگ ان کوششوں، سیشن میں ردوبدل اور پرولیج کے غیر معمولی اضافے کا بروقت پتہ لگایا جا سکے۔

ایڈوائزری میں خبردار کیا گیا ہے کہ چونکہ یہ حملے نہایت کم پیچیدگی کے حامل ہیں اور ان کے لیے کسی اجازت کی ضرورت نہیں، اس لیے بڑے پیمانے پر ایکسپلائٹیشن مہمات تیزی سے شروع ہو سکتی ہیں۔

این سی ای آر ٹی نے زور دیا کہ بروقت پیچنگ بڑے پیمانے پر ای کامرس پلیٹ فارمز کو کمپرومائز سے بچانے کے لیے ضروری ہے“، اور کاروباری اداروں کو مانیٹرنگ مضبوط کرنے اور دفاعی حکمتِ عملی اپنانے کا مشورہ دیا۔

کاپی رائٹ بزنس ریکارڈر، 2025

Comments

Comments are closed.