Indy-Node 远程代码执行漏洞

最新推荐文章于 2024-08-13 08:19:43 发布
最新推荐文章于 2024-08-13 08:19:43 发布
阅读量243 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: 安全 网络 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126751401
版权
Indy-Node 的一个安全漏洞允许攻击者在未正确验证的情况下执行远程代码。影响范围包括 indy-node@(-∞, 1.12.5)。修复方案是升级到 1.12.5 或更高版本。OSCS 提供了开源项目安全风险订阅服务,帮助用户及时获取安全情报。" 106335207,8697267,XXE漏洞复现:从理论到实战,"['xxe靶机', 'xml漏洞', '安全攻防', '漏洞利用', '渗透测试']
摘要由CSDN通过智能技术生成

漏洞描述

Indy-Node 是分布式账本的服务端。

受影响版本 Indy-Node 中的 pool-upgrade 请求处理程序允许未经正确身份验证的攻击者在网络内的节点上远程执行代码。

攻击者可利用该漏洞进行远程代码执行。

漏洞名称 Indy-Node 远程代码执行漏洞
漏洞类型 将系统数据暴露到未授权控制的范围
发现时间 2022/9/7
漏洞影响广度 一般
MPS编号 MPS-2022-11050
CVE编号 CVE-2022-31020
CNVD编号 -

影响范围

indy-node@(-∞, 1.12.5)

修复方案

将组件 indy-node 升级至 1.12.5 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-11050

https://nvd.nist.gov/

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vm2沙箱逃逸漏洞复现(CVE-2023-32314)
0xSec
05-19 2613
3.9.17 及以下版本的vm2中存在沙盒逃逸漏洞。它滥用基于代理规范的宿主对象的意外创建,并允许Function在宿主上下文中通过 导致RCE。
vm2:Node.js的高级vmsandbox
02-04
虚拟机2 vm2是一个沙箱,可以与列入白名单的Node的内置模块一起运行不受信任的代码。 放心! 产品特点 与您的代码并排在单个进程中安全地运行不受信任的代码 完全控制沙箱的控制台输出 沙盒对流程方法的访问权限有限 沙盒可能需要模块(内置和外部) 您可以限制对某些(或全部)内置模块的访问 您可以安全地调用方法,并在沙箱之间交换数据和回调 对所有已知的攻击方法都免疫 转运支持 它是如何工作的 它使用内部VM模块创建安全上下文 它使用来防止逃逸沙箱 它覆盖了控制访问模块的内置要求 Node的vm和vm2有什么区别? 自己尝试: const vm = require ( 'vm' ) ;
vm2 组件存在沙箱逃逸漏洞
OSCS开源安全社区
09-07 1224
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送。点击漏洞详情页右下方【免费使用】,即可快速体验墨菲安全专业的检测能力。提供代码安全检测、许可证合规评估等能力,目前支持 CLI 、IDE插件、GitHub多种检测方式,欢迎使用。受影响版本的 vm2 中,攻击者可以绕过沙箱的保护,在沙箱运行的主机上获得远程代码执行的权限。
【严重】vm2 <3.9.18 沙箱逃逸漏洞(存在POC)
murphysec的博客
06-07 1787
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。将组件 vm2 升级至 3.9.18 及以上版本。
浅谈NPM,vm,vm2,Node.js沙盒逃逸
m0_62063669的博客
06-24 3103
浅谈NPM,vm,vm2,Node.js沙盒逃逸( npm是用 JavaScript 写的,运行在 Node.js 上,Node.js 内置了 npm,npm 的发展是跟 Node.js 的发展相辅相成的。)简单来说, Node.js 就是运行在服务端的JavaScript,npm是随同Node.js一起安装的包管理工具,通过命令从npm服务器下载别人编写的第三方工具到本地使用。但是VM不安全,能轻易地获取到了主程序的全局对象 process,最终控制主程序!因此VM2诞生,解决了VM的安全问题。 ..
PyPI 官网下载 | indy-node-dev-1.1.116.tar.gz
01-28
标题中的“PyPI 官网下载 | indy-node-dev-1.1.116.tar.gz”表明这是一个从Python Package Index(PyPI)官方下载的软件包,名为indy-node-dev,版本号为1.1.116,其格式是tar.gz。PyPI是Python社区用来分发和管理...
indy-node-monitor
03-22
Indy节点监视器Indy节点监视器是一组工具,用于通过查询分类帐节点的验证者信息来监视Indy分类帐的状态。 基于此,可以生成适合以下条件的数据: 仪表板上的可视化跟踪有关节点和总分类帐状态的趋势跟踪读写正常运行...
indy-node:专门为分散身份而构建的分布式分类帐的服务器部分
05-14
随着时间的推移,除之外,所有其他indy- *项目都可能会崩溃到该项目中。 Indy有自己的基于RBFT的分布式分类帐。 与Sovrin的关系该代码独立于Sovrin基金会,但通常与Sovrin基金会相关联。 Sovrin基金会是基于此代码...
PyPI 官网下载 | indy-node-1.6.77.tar.gz
02-10
这个压缩包“indy-node-1.6.77.tar.gz”包含了 Indy Node 的特定版本 1.6.77,该版本是官方PyPI(Python Package Index)上的一个软件包。 Indy NodeIndy 生态系统的核心组件之一,它主要处理去中心化身份网络...
PyPI 官网下载 | indy-node-dev-1.5.538.tar.gz
01-28
`indy-node-dev-1.5.538.tar.gz` 文件是从 PyPI 官网上下载的 Indy Node 开发版本,版本号为 1.5.538。这个压缩包包含了 Indy Node代码、必要的依赖项和其他开发资源,方便开发者进行本地化开发和调试。 在使用...
VM2 VMScript预编译
godop的博客
08-04 4065
简介 vm2是一个沙箱,可以使用列入白名单的Node的内置模块运行不受信任的代码安全! 特征 使用您的代码并排在一个进程中安全地运行不受信任的代码 完全控制沙盒的控制台输出 Sandbox对进程方法的访问权限有限 沙箱可以要求模块(内置和外置) 您可以限制对某些(或所有)内置模块的访问 您可以安全地调用方法并在沙箱之间交换数据和回调 免疫while (true) {}(这点应该是vm2可以设置...
NodeJS vm&vm2沙箱逃逸
leekos的博客,分享web安全相关知识~
08-05 1595
在讲沙箱逃逸之前,我们需要了解一下什么是沙箱。沙箱就是一个集装箱,把你的应用装到沙箱里去运行,这样应用与应用之间就产生了边界,不会相互影响。当我们运行一些可能产生危害的程序时,我们不能直接在主机上运行。我们可以单独开辟一个运行代码的环境,这个环境就是沙箱,它与主机相互隔离,但使用主机的资源,但有危害的代码在沙箱内运行只会对沙箱内部产生一些影响,不影响主机的功能。
node之vm2库,js沙盒环境
局外人LZ的博客
01-02 3104
vm2 是一个用于在 Node.js 中创建沙盒环境的模块。它提供了一种安全执行 JavaScript 代码的方式,可以隔离和限制代码的访问权限,防止恶意代码对系统造成损害。创建沙盒环境:vm2 允许你创建一个虚拟机实例(VM),在该实例中运行 JavaScript 代码。这个虚拟机实例是一个隔离的环境,与主 Node.js 进程相互独立,可以在其中执行代码。限制访问权限:vm2 允许你限制代码对系统资源的访问权限。你可以控制代码能否访问全局对象、模块、文件系统和网络等资源,从而提供更高的安全性。
Nodejs vm/vm2沙箱逃逸
qq_61768489的博客
04-13 2487
什么是沙箱:沙箱就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰而被装进集装箱的应用,也可以被方便地搬来搬去。什么是VM:VM就是虚拟环境,虚拟机,VM的特点就是不受环境的影响,也可以说他就是一个 沙箱环境 (沙箱模式给模块提供一个环境运行而不影响其它模块和它们私有的沙箱)类似于docker,docker是属于 Sandbox(沙箱) 的一种。简而言之,vm提供了一个干净的独立环境,提供测试。
VM2 开源项目教程
最新发布
gitblog_00954的博客
08-13 395
VM2 开源项目教程 vm2Advanced vm/sandbox for Node.js项目地址:https://gitcode.com/gh_mirrors/vm/vm2 项目介绍 VM2 是一个用于在 Node.js 中创建沙盒环境的模块。它提供了一种安全执行 JavaScript 代码的方式,可以隔离和限制代码的访问权限,防止恶意代码对系统造成损害。VM2 允许你创建一个虚拟机实例(VM...
漏洞实现 --- Vm2沙箱逃逸漏洞复现(CVE-2023-32314)
weixin_62443409的博客
09-13 5040
安装低版本npm是为了规避npm的内部审核机制(高版本npm会检查vm2安装包的安全性)CentOS7(Nodejs和vm@3.9.17)升级nodejs至高版本。
探索VM2:一个强大的JavaScript虚拟机实现
gitblog_00078的博客
03-21 585
探索VM2:一个强大的JavaScript虚拟机实现 vm2Advanced vm/sandbox for Node.js项目地址:https://gitcode.com/gh_mirrors/vm/vm2 是一个由Patrik Šimek开发的开源JavaScript虚拟机库,它允许你在Node.js环境中安全地运行和管理JavaScript代码片段。作为一个高级的技术工具,VM2提供了一种隔...
补环境之vm2检测
liberty888的博客
10-08 899
补环境之vm2检测
补环境之VM2使用变量重复定义问题
liberty888的博客
10-25 177
补环境之VM2使用变量重复定义问题
Impinj Indy Host Library SDK v2.6.0入门指南
"IN_DG_IPJ_Indy_Host_Library_SDK_Getting_Started_Guide_v2_6_0_20120504_R1.pdf" 本文档是关于Impinj Indy Host Library...对于想要开发基于INDY-R2000的RFID解决方案的开发者来说,这份指南是必不可少的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值