DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phát hiện lỗ hổng trong trình quản lý tập tin mã nguồn mở elFinder
Các nhà nghiên cứu bảo mật gần đây phát hiện ra 5 lỗ hổng bảo mật nghiêm trọng trong trình quản lý tệp tin mã nguồn mở elFinder.
elFinder thường được sử dụng trong các hệ thống quản lý nội dung và framework như plugin WordPress và Symfony giúp quản lý tệp cục bộ và từ xa dễ dàng hơn. Nó được viết bằng JavaScript với việc sử dụng thư viện jQuery UI.
Tập hợp 5 lỗ hổng trong elFinder có mã định danh CVE-2021-32682, với điểm số CVSS là 9.8, cho thấy mức độ rất nguy hiểm của những lỗi này. Lỗ hổng ảnh hưởng đến elFinder phiên bản 2.1.58.
Bằng việc khai thác lỗ hổng, kẻ tấn công có thể thực thi mã tùy ý và thực hiện các hành động khác trên máy chủ lưu trữ trình kết nối elFinder PHP, dẫn đến việc kiểm soát máy chủ. Kẻ tấn công cũng có thể xóa các tệp bất kỳ, tải tệp PHP... Nhóm duy trì dự án elFinder đã phát hành phiên bản 2.1.59 để sửa những lỗ hổng này.
Nhà nghiên cứu cho biết: "Chúng tôi đã phát hiện ra nhiều lỗ hổng mới trong các đoạn mã của elFinder và chứng minh cách chúng có thể bị khai thác để giành quyền kiểm soát máy chủ và dữ liệu của nó."
Theo Thomas Chauchefoin, nhà nghiên cứu bảo mật tại SonarSource, tất cả người dùng nên nâng cấp elFinder lên bản nâng cấp mới nhất ngay lập tức. Nhà nghiên cứu cảnh báo: "Bởi vì những thông tin ban đầu về lỗ hổng đã bị tiết lộ công khai, nên tin tặc sẽ sớm phân tích và phát triển các công cụ rò quét lỗ hổng nhằm thực hiện các cuộc tấn công."
elFinder thường được sử dụng trong các hệ thống quản lý nội dung và framework như plugin WordPress và Symfony giúp quản lý tệp cục bộ và từ xa dễ dàng hơn. Nó được viết bằng JavaScript với việc sử dụng thư viện jQuery UI.
Tập hợp 5 lỗ hổng trong elFinder có mã định danh CVE-2021-32682, với điểm số CVSS là 9.8, cho thấy mức độ rất nguy hiểm của những lỗi này. Lỗ hổng ảnh hưởng đến elFinder phiên bản 2.1.58.
Bằng việc khai thác lỗ hổng, kẻ tấn công có thể thực thi mã tùy ý và thực hiện các hành động khác trên máy chủ lưu trữ trình kết nối elFinder PHP, dẫn đến việc kiểm soát máy chủ. Kẻ tấn công cũng có thể xóa các tệp bất kỳ, tải tệp PHP... Nhóm duy trì dự án elFinder đã phát hành phiên bản 2.1.59 để sửa những lỗ hổng này.
Nhà nghiên cứu cho biết: "Chúng tôi đã phát hiện ra nhiều lỗ hổng mới trong các đoạn mã của elFinder và chứng minh cách chúng có thể bị khai thác để giành quyền kiểm soát máy chủ và dữ liệu của nó."
Theo Thomas Chauchefoin, nhà nghiên cứu bảo mật tại SonarSource, tất cả người dùng nên nâng cấp elFinder lên bản nâng cấp mới nhất ngay lập tức. Nhà nghiên cứu cảnh báo: "Bởi vì những thông tin ban đầu về lỗ hổng đã bị tiết lộ công khai, nên tin tặc sẽ sớm phân tích và phát triển các công cụ rò quét lỗ hổng nhằm thực hiện các cuộc tấn công."
Theo: ehackingnews
Chỉnh sửa lần cuối bởi người điều hành: