Trang chủTin TứcCác vi phạm nghiêm trọng được tìm thấy trong Etherpad

Các vi phạm nghiêm trọng được tìm thấy trong Etherpad

The Hacker News cho biết, phiên bản 1.8.13 của Etherpad có thể chứa hai lỗ hổng cho phép các kẻ đe dọa đánh cắp tài liệu nhạy cảm, chiếm đoạt tài khoản quản trị viên và thực thi các lệnh hệ thống .

Các nhà nghiên cứu an ninh mạng từ SonarSource đã theo dõi hai lỗ hổng là CVE-2021-34816 và CVE-2021-34817. Một hacker có thể lợi dụng từng lỗ hổng này để chiếm đoạt tài khoản quản trị và từ đó, có được quyền truy cập shell và cài đặt phần mềm độc hại trên máy chủ chính. Etherpad đã phát hành các bản vá để sửa những lỗi này vào ngày 4 tháng 7.

Paul Gerste, một nhà nghiên cứu an ninh mạng tại SonarSource, giải thích rằng tin tặc sử dụng các cuộc tấn công tập lệnh xuyên trang (XSS) cho phép chúng truy cập vào người dùng Etherpad, bao gồm cả tài khoản quản trị viên. Khi vào bên trong, các tác nhân độc hại có thể đánh cắp hoặc thao túng dữ liệu của nạn nhân.

Ông nói thêm rằng “Lỗ hổng tiêm đối số cho phép những kẻ tấn công thực thi mã tùy ý trên máy chủ, điều này sẽ cho phép [chúng] ăn cắp, sửa đổi hoặc xóa tất cả dữ liệu hoặc nhắm mục tiêu vào các hệ thống nội bộ khác có thể truy cập được từ máy chủ.”

Tin tặc có thể có được quyền truy cập vào máy chủ và cài đặt phần mềm độc hại bằng cách khai thác các lỗ hổng này 

Etherpad bao gồm một thành phần trò chuyện để tạo điều kiện hợp tác tốt hơn. Các thành viên trong nhóm có thể giao tiếp với nhau trong cuộc trò chuyện nhóm trên per-pad và vì tin nhắn được lưu trữ trên máy chủ nên mọi người đều có thể truy cập chúng. Mặc dù là một tính năng linh hoạt và tiện lợi, nhưng nhược điểm bắt nguồn từ lỗ hổng XSS (CVE-2021-34817) cho phép đưa các tải JavaScript độc hại vào lịch sử trò chuyện.

Một tính năng tuyệt vời khác của Etherpad là khả năng cài đặt các gói thông qua lệnh “npm install”. Điều nguy hiểm với điều này là kẻ tấn công có thể cài đặt một gói độc hại từ kho lưu trữ NPM nếu nó không được định cấu hình đúng cách.

Để tránh bị ảnh hưởng bởi lỗ hổng bảo mật, người dùng Etherpad nên cập nhật phần mềm của họ lên phiên bản 1.8.14.

Tham gia kênh và nhóm Telegram để nhận các bản cập nhật mới nhất.

Từ chối trách nhiệm

Chúng tôi chỉ chia sẻ nội dung cho mục đích thử nghiệm và giáo dục. Nếu bạn nghĩ rằng nó hoạt động tốt và có ích cho bạn thì chúng tôi thực sự khuyên bạn nên mua nó từ các tác giả hoặc nhà phát triển gốc vì họ đã thực sự rất nỗ lực trong việc tạo ra nó.
Nếu bạn là chủ sở hữu của nội dung này hoặc muốn xóa nội dung này thì hãy gửi thư cho chúng tôi , Chúng tôi sẽ xóa nội dung đó ngay khi có thể. Để biết thêm thông tin, hãy truy cập:

BÀI VIẾT LIÊN QUAN

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Bình luận mới