| CVE | N/D |
|---|---|
| Sintesi della consulenza | Alcuni scanner di sicurezza mostrano che i metodi HTTP OPTIONS/DELETE sono abilitati, segnalando una potenziale vulnerabilità senza ulteriori controlli, innescando un falso allarme su Command Enterprise. |
| Prodotti o componenti | Impresa di comando |
| Affrontato nella pubblicazione | Nessun impatto sui prodotti March Networks |
| Gravità | N/D |
| Biglietto | SV-29 |
Descrizione
Alcuni scanner di sicurezza mostrano che i metodi HTTP OPTIONS/DELETE sono abilitati, segnalando una potenziale vulnerabilità senza ulteriori controlli.
Nei server Web più vecchi, i metodi HTTP OPTIONS e DELETE non erano molto utilizzati e non erano standardizzati come parte delle specifiche HTTP. Il loro uso e la loro funzionalità variavano a seconda dei server e delle implementazioni. Il metodo HTTP OPTIONS era usato principalmente come metodo sperimentale per recuperare informazioni sulle opzioni di comunicazione del server, ma il suo uso e il suo scopo non erano coerenti tra i server. Il metodo HTTP DELETE è stato utilizzato in alcuni casi per richiedere l'eliminazione di un file, ma non era un metodo standardizzato per l'eliminazione dei file nel web.
Al giorno d'oggi, il metodo HTTP OPTIONS è ampiamente utilizzato come metodo standard per i client per richiedere informazioni sulle opzioni di comunicazione disponibili per una risorsa in un'API RESTful, compresi i metodi supportati, mentre il metodo HTTP DELETE è utilizzato come metodo standard per richiedere la cancellazione di una risorsa. È importante notare che REST è solo uno stile architettonico e la sua implementazione può variare. Tuttavia, seguire le best practice REST e utilizzare misure di sicurezza consolidate, come la trasmissione sicura dei dati tramite TLS e la corretta convalida degli input, può contribuire a ridurre il rischio di vulnerabilità della sicurezza in un'applicazione RESTful.
Impatto
L'API RESTful utilizzata nella nostra Command Enterprise consente l'esecuzione di questi metodi solo dopo aver verificato l'autorizzazione e solo utilizzando canali criptati TLS, quindi la presenza di questi metodi non influisce in alcun modo sulla sicurezza.
Revisione
3 febbraio 2023 - Rapporto pubblico iniziale
Esclusione di responsabilità
La valutazione da parte di March Networksdi questa vulnerabilità di sicurezza è subordinata al fatto che i prodotti March Networks siano stati aggiornati al livello di release e/o patch di sicurezza raccomandato e che il sistema sia stato implementato e configurato in conformità alle raccomandazioni di sicurezza March Networks e alle best practice del settore. È RESPONSABILITÀ DEL CLIENTE VALUTARE L'EFFETTO DI QUALSIASI VULNERABILITÀ DI SICUREZZA. Il mancato aggiornamento dei prodotti March Networks e/o la mancata osservanza delle raccomandazioni March Networks o delle best practice del settore possono aumentare il rischio associato a una vulnerabilità di sicurezza. March Networks segue le pratiche più avanzate del settore per affrontare le vulnerabilità di sicurezza dei propri prodotti. Sebbene March Networks non possa garantire che i suoi prodotti siano privi di vulnerabilità di sicurezza, si impegna a fornire aggiornamenti e correzioni di sicurezza per i suoi prodotti supportati, se e quando viene determinata una vulnerabilità di sicurezza elevata che riguarda i prodotti March Networks .