-
09/04/2020
-
94
-
685 bài viết
Lỗ hổng nghiêm trọng trong ToDesktop cho phép truy cập trái phép
Một lỗ hổng bảo mật nghiêm trọng (CVE-2025-27554) vừa được phát hiện trong dịch vụ ToDesktop, công cụ đóng gói ứng dụng Electron. Với điểm CVSS 9,9, lỗ hổng này có thể cho phép kẻ tấn công thực thi lệnh tùy ý trên máy chủ build và triển khai các bản cập nhật trái phép đến ứng dụng sử dụng nền tảng này.
Lỗ hổng bắt nguồn từ việc cấp quyền quá mức cho container build, tạo điều kiện cho script postinstall trong file package.json lấy được thông tin đăng nhập Firebase. Cụ thể, nhà nghiên cứu đã phát hiện vấn đề khi kiểm tra AI text editor Cursor, vốn sử dụng ToDesktop để đóng gói trình cài đặt. Khi phân tích công cụ CLI của ToDesktop:
Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công truy cập trái phép vào cơ sở dữ liệu và tài khoản người dùng ToDesktop, triển khai các bản cập nhật không được ủy quyền, đồng thời gây ảnh hưởng đến hàng triệu người dùng của các ứng dụng phổ biến như ClickUp, Cursor, Linear và Notion Calendar.
Lỗ hổng đã được báo cáo vá lỗi, thay đổi tất cả các token nhạy cảm, đồng thời kiểm tra độc lập nền tảng. Ngoài ra, chuyên gia WhiteHat khuyến cáo người dùng nên:
Lỗ hổng bắt nguồn từ việc cấp quyền quá mức cho container build, tạo điều kiện cho script postinstall trong file package.json lấy được thông tin đăng nhập Firebase. Cụ thể, nhà nghiên cứu đã phát hiện vấn đề khi kiểm tra AI text editor Cursor, vốn sử dụng ToDesktop để đóng gói trình cài đặt. Khi phân tích công cụ CLI của ToDesktop:
- Container build được cấp quyền quá mức cần thiết, có thể truy cập nhiều tài nguyên hơn so với yêu cầu tối thiểu, làm tăng rủi ro bảo mật.
- Khóa admin Firebase bị hardcode trực tiếp trong container, khiến kẻ tấn công có thể lấy được và truy cập trái phép vào hệ thống.
- Không có cơ chế kiểm soát khi tải lên qua Firebase Cloud Function, cho phép kẻ tấn công gửi tệp hoặc mã độc tùy ý.
- Script postinstall có thể thực thi lệnh trong môi trường build, dẫn đến nguy cơ thực thi mã từ xa (RCE) nếu bị khai thác.
Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công truy cập trái phép vào cơ sở dữ liệu và tài khoản người dùng ToDesktop, triển khai các bản cập nhật không được ủy quyền, đồng thời gây ảnh hưởng đến hàng triệu người dùng của các ứng dụng phổ biến như ClickUp, Cursor, Linear và Notion Calendar.
Lỗ hổng đã được báo cáo vá lỗi, thay đổi tất cả các token nhạy cảm, đồng thời kiểm tra độc lập nền tảng. Ngoài ra, chuyên gia WhiteHat khuyến cáo người dùng nên:
- Bắt buộc sử dụng khóa bảo mật khi phát hành bản cập nhật.
- Hạn chế quyền truy cập trong quá trình build và phát hành.
- Cải thiện cảnh báo khi có hoạt động đáng ngờ với token truy cập.
- Áp dụng nguyên tắc Least Privilege cho build container.
- Cho phép khách hàng tự host bản cập nhật để tăng cường kiểm soát.
Theo Security Online