Etherpad中报告的严重缺陷;流行的谷歌文档替代品
相关标签:
网络安全研究人员披露了Etherpad文本编辑器(1.8.13版)中的新安全漏洞,这些漏洞可能使攻击者劫持管理员帐户、执行系统命令,甚至窃取敏感文档
两个缺陷,SonarSource的研究人员于6月4日发现并报告了这些信息,随后在7月4日发布的Etherpad版本1.8.14中发布了针对后者的补丁#Etherpad是一个实时协作界面,允许多个作者同时编辑文档。它是谷歌文档的开源替代品,可以自托管,也可以通过众多第三方公共实例之一使用。
“XSS漏洞允许攻击者接管Etherpad用户,包括管理员。这可用于窃取或操纵敏感数据,”SonarSource漏洞研究人员Paul Gerste在与《黑客新闻》分享的一份报告中说
具体来说,XSS漏洞(CVE-2021-34817)存在于Etherpad提供的聊天功能中,具有聊天信息的“userId”属性—;i、 e.与文档作者关联的唯一标识符—;在前端呈现而不正确转义特殊字符,从而允许对手将恶意JavaScript负载插入聊天历史记录,并作为受害者用户执行操作
另一方面,$##CVE-2021-34816与Etherpad如何管理插件有关,其中通过“npm install”命令安装的软件包的名称没有充分消毒,导致一种情况,即攻击者可以“从NPM存储库中指定恶意软件包,或仅使用指向攻击者服务器上软件包的URL”成功利用CVE-2021-34816的后果是执行任意代码和系统命令,从而完全破坏Etherpad实例及其数据
令人担忧的是,攻击者可以将这两个漏洞链接在一起,首先接管管理员帐户,然后使用这些权限获取外壳并在服务器上执行恶意代码
这项研究强调了“数据验证和清理对于在开发过程中避免此类缺陷是多么重要,”Gerste说,并补充说,“最小的编码错误可能是攻击者对软件发起进一步攻击的第一步。”
强烈建议Etherpad用户将其安装更新到1.8.14版,以降低与该漏洞相关的风险。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
