node.js

  1. WhiteHat Team

    Node.js xử lý lỗ hổng command injection dễ bị khai thác trên hệ điều hành Windows

    Lỗ hổng có mã định danh CVE-2024-27980, là lỗi command injection có thể cho phép kẻ tấn công thực thi mã độc ngay cả khi tùy chọn 'shell' đã được vô hiệu hóa. Node.js là một môi trường chạy mã JavaScript phía máy chủ (server-side) được xây dựng trên JavaScript engine V8 của Google Chrome. Nó...
  2. WhiteHat Team

    Phát hiện lỗ hổng nghiêm trọng trong JSON Web Token áp dụng cho Node.js

    JSON Web Token (JWT) – tiêu chuẩn mã nguồn mở dùng để truyền tải thông tin an toàn giữa phía client và server trong Node.js đang tồn tại lỗ hổng có mã định danh CVE-2023-48238, điểm CVSS là 7,5. Lỗ hổng này có thể cho phép kẻ xấu thực hiện các cuộc tấn công thay đổi thuật toán (algorithm...
  3. WhiteHat News #ID:2018

    Phát hiện nhiều lỗ hổng nghiêm trọng tồn tại trong Node.js

    Node.js là một nền tảng độc lập được xây dựng trên môi trường JavaScript runtime phổ biến cho các ứng dụng như máy chủ web, ứng dụng trò chuyện theo thời gian thực và các ứng dụng doanh nghiệp. Tuy nhiên, nhiều lỗ hổng nghiêm trọng vừa được tìm thấy trong Node.js cho phép kẻ tấn công giành...
  4. WhiteHat News #ID:2018

    Người dùng Node.js lưu ý: tấn công qua mặt xác thực giúp chèn mã độc vào thư viện npm

    Việc đăng ký gói npm trên môi trường chạy Node.js JavaScript đang bị ảnh hưởng bởi một cuộc tấn công do không đồng nhất với các tệp kê khai (manifest confusion) có thể cho phép kẻ xấu che giấu mã độc trong các gói của dự án hoặc thực thi mã script tùy ý trong quá trình cài đặt. Đây là quá...
  5. tathoa0607

    Phát hiện lỗ hổng zero-day trong NodeBB

    Nếu bạn đang điều hành một diễn đàn dựa trên phần mềm NodeBB, hãy nhanh chóng cập nhật bản vá mới nhất để khắc phục hai lỗ hổng nghiêm trọng. Phần mềm Diễn đàn NodeBB được phát triển bởi Node.js và hỗ trợ cơ sở dữ liệu Redis, MongoDB hoặc PostgreSQL. Nó sử dụng các web socket để tương tác tức...
  6. WhiteHat Team

    Node.js vá lỗ hổng nghiêm trọng cho phép chiếm quyền điều khiển từ xa

    Đội ngũ đứng sau Node.js hôm qua ra khuyến cáo bảo mật đề nghị người dùng cập nhật phiên bản mới nhất để ngăn chặn hàng loạt lỗi. Lỗ hổng đầu tiên (CVE-2021-3672/CVE-2021-2293) xuất phát từ việc xử lý không đúng các ký tự không điển hình trong tên miền, dẫn đến nguy cơ khai thác RCE hoặc XSS...
  7. tuantran

    Cách phòng tránh Supply Chain attack trên NPM

    Tấn công chuỗi cung ứng (supply chain attack) được coi là một xu hướng của tin tặc ngày nay. Nếu chúng ta không có những biện pháp để ngăn ngừa cách thức tấn công này thì hậu quả để lại sẽ rất nghiêm trọng. Trong bài viết này, tôi tham khảo bài viết của tác giả Isaac Z. Schlueter giới thiệu cho...
  8. WhiteHat News #ID:2112

    Phát hiện các gói npm độc hại cài đặt trojan truy cập từ xa

    Đầu tuần này, nhóm đứng sau kho lưu trữ “npm” cho các thư viện JavaScript đã xóa hai gói npm vì chứa mã độc hại cài đặt trojan truy cập từ xa (RAT) trên máy tính của các nhà phát triển làm việc trên các dự án JavaScript. Hai gói độc hại này là jdb.js và db-json.js., cả hai đều được tạo bởi cùng...
  9. WhiteHat News #ID:2112

    Lỗi prototype pollution trong thư viện Node.js cho phép tấn công DoS, truy cập shell từ xa

    Một lỗ hổng trong thư viện express-fileupload cho phép tin tặc thực hiện các cuộc tấn công Prototype pollution trên các máy chủ Node.js, một nhà nghiên cứu cho biết. express-fileupload, gói Node.js với hơn 7 triệu lượt tải xuống, cho phép các ứng dụng xử lý tệp được tải lên trong các ứng dụng...
Bên trên