Đang tải

Đang tải

Bạn có biết không?

Chúng tôi muốn mang đến trải nghiệm tốt nhất cho bạn!

Parse Server – công cụ mã nguồn mở trong cơ sở hạ tầng Node.js – tồn tại lỗ hổng nghiêm trọng. Lỗi này được gán mã định danh là CVE-2023-36475, cho phép kẻ tấn công thực thi mã từ xa.

Parse Server là một backend mã nguồn mở được triển khai cho bất kỳ cơ sở hạ tầng nào có thể chạy Node.js. Parse Server hoạt động với khung ứng dụng web Express. Công cụ này có thể được thêm vào các ứng dụng web hiện có hoặc tự chạy và có khả năng hoạt động độc lập.

Gần đây, các chuyên gia đã phát hiện sự tồn tại của một thành phần độc hại trong trình hoạt động phân tích cú pháp MongoDB BSON. Thông qua thành phần độc hại này kẻ tấn công có khả năng thực thi mã từ xa.

Lỗ hổng CVE-2023-36475 có số điểm CVSS đáng lo ngại là 9,8, nằm ở trung tâm của trình phân tích cú pháp MongoDB BSON mà Parse Server sử dụng. Những kẻ tấn công, tận dụng prototype trong pollution sink, có khả năng kích hoạt thực thi mã từ xa, lợi dụng lỗ hổng này để làm “bàn đạp” tấn công hệ thống.

Phiên bản bị ảnh hưởng và phiên bản vá lỗi tương ứng:

  • Các phiên bản trước 5.5.2: cài đặt phiên bản vá lỗi 5.5.2.
  • Phiên bản từ 6.0.0 đến 6.2.1: Cài đặt phiên bản vá lỗi 6.2.1.

Các bản vá hoạt động để ngăn chặn “prototype pollution” trong cơ sở dữ liệu MongoDB adapter. Đối với các hệ thống gặp khó khăn trong việc triển khai bản vá có thể vô hiệu hóa thực thi mã từ xa thông qua trình phân tích cú pháp của MongoDB BSON.
Vì lỗ hổng có độ phổ biến cũng như điểm CVSS cao, cho nên nếu hệ thống của các bạn đang sử dụng nên có kế hoạch cập nhật hoặc sử dụng biện pháp khắc phục tạm thời tương ứng phù hợp.

Theo: Securityonline.info

Chia sẽ bài viết

Bài viết liên quan

Hơn chục nghìn bộ định tuyến Mikro

Một lỗ hổng nghiêm trọng vừa được phát ...

CISA cảnh báo lỗi nghiêm trọng trên

Cơ quan An ninh cơ sở hạ tầng và an ninh mạn...

Cảnh báo lỗ hổng nguy hiểm trong cá

HP thông báo rằng sẽ mất khoảng 90 ngày đ�...