-
09/04/2020
-
85
-
553 bài viết
Parse Server tồn tại lỗ hổng thực thi mã từ xa đặc biệt nghiêm trọng
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng đặc biệt nghiêm trọng trong công cụ mã nguồn mở Parse Server. Khai thác thành công lỗ hổng có thể cho phép hacker tấn công thực thi mã từ xa.
Lỗ hổng prototype pollution là một cuộc tấn công chèn mã ảnh hưởng đến JavaScript, cho phép tin tặc sửa đổi các chức năng dự kiến của ứng dụng.
Đây là một cuộc tấn công injection nhằm vào các JavaScript runtime. Với prototype pollution, hacker có thể kiểm soát các giá trị mặc định của thuộc tính đối tượng. Điều này cho phép kẻ tấn công giả mạo logic của ứng dụng và cũng có thể dẫn đến tấn công từ chối dịch vụ hoặc trong trường hợp nghiêm trọng là thực thi mã từ xa.
Lỗ hổng Parse Server ảnh hưởng đến công cụ trong cấu hình MongoDB mặc định. Các nhà nghiên cứu giải thích mã tồn tại lỗ hổng có thể ảnh hưởng đến Postgres và các phụ trợ cơ sở dữ liệu khác.
Được gắn mã định danh là CVE-2022-24760, lỗ hổng này có điểm CVSS 10/10, ảnh hưởng Parse Server phiên bản phát hành trước 4.10.7. Vì vậy, người dùng nên nâng cấp lên Parse Server 4.10.7 hoặc cao hơn để không bị ảnh hưởng bởi lỗ hổng này (phiên bản hiện tại bao gồm 5.0.0 .).
Các nhà nghiên cứu cũng đã đề xuất một cách giải quyết tạm thời cho người dùng nếu họ không thể cập nhật bản vá, đó là vá trình điều khiển MongoDB Node.js và tắt thực thi mã BSON.
Parse Server là một khung phụ trợ mã nguồn mở chạy trên Node.js, có thể được triển khai cho bất kỳ cơ sở hạ tầng nào và hỗ trợ tích hợp với các ứng dụng web hiện có. Parse Servercũng có thể hoạt động với khung ứng dụng web Express và thậm chí chạy độc lập.
Lỗ hổng RCE Parse Server
Theo giải thích trên GitHub, lỗ hổng RCE tồn tại trong gói npm Parse Server. Ba nhà nghiên cứu Mikhail Shcherbakov, Cristian-Alexandru STAICU và Musard Balliu đã nhận thấy lỗ hổng prototype pollution trong tệp DatabaseController.js. Lỗi được xác nhận tồn tại trong phiên bản Ubuntu và Windows.Lỗ hổng prototype pollution là một cuộc tấn công chèn mã ảnh hưởng đến JavaScript, cho phép tin tặc sửa đổi các chức năng dự kiến của ứng dụng.
Đây là một cuộc tấn công injection nhằm vào các JavaScript runtime. Với prototype pollution, hacker có thể kiểm soát các giá trị mặc định của thuộc tính đối tượng. Điều này cho phép kẻ tấn công giả mạo logic của ứng dụng và cũng có thể dẫn đến tấn công từ chối dịch vụ hoặc trong trường hợp nghiêm trọng là thực thi mã từ xa.
Lỗ hổng Parse Server ảnh hưởng đến công cụ trong cấu hình MongoDB mặc định. Các nhà nghiên cứu giải thích mã tồn tại lỗ hổng có thể ảnh hưởng đến Postgres và các phụ trợ cơ sở dữ liệu khác.
Được gắn mã định danh là CVE-2022-24760, lỗ hổng này có điểm CVSS 10/10, ảnh hưởng Parse Server phiên bản phát hành trước 4.10.7. Vì vậy, người dùng nên nâng cấp lên Parse Server 4.10.7 hoặc cao hơn để không bị ảnh hưởng bởi lỗ hổng này (phiên bản hiện tại bao gồm 5.0.0 .).
Các nhà nghiên cứu cũng đã đề xuất một cách giải quyết tạm thời cho người dùng nếu họ không thể cập nhật bản vá, đó là vá trình điều khiển MongoDB Node.js và tắt thực thi mã BSON.
Parse Server là một khung phụ trợ mã nguồn mở chạy trên Node.js, có thể được triển khai cho bất kỳ cơ sở hạ tầng nào và hỗ trợ tích hợp với các ứng dụng web hiện có. Parse Servercũng có thể hoạt động với khung ứng dụng web Express và thậm chí chạy độc lập.
Nguồn: Latest Hacking News