聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Parse Server 修复了一个原型污染漏洞 (CVE-2022-39396),该漏洞可导致远程代码执行 (RCE) 后果。攻击者可通过 MongoDB BSON 解析器,利用该漏洞触发RCE。
Parse Server 是一款热门的适用于 Node.js 的开源API服务器模块,为iOS、macOS、安卓和tvOS推送通知功能。
尽管研究人员尚未发布漏洞详情,但该漏洞堪比今年发布的另外一个原型污染导致RCE后果的漏洞。后者出现于2022年3月,CVSS评分为10分。
立即修复
位于斯德哥尔摩皇家理工学院的研究员 Mikhail Shcherbakov 指出,“我可以证实这两个漏洞都有最高影响力,因为他们影响Parse Server的默认配置,可导致攻击者在无需认证的情况下远程控制系统。所以我的建议是尽快修复 Parse Server。”
该漏洞已在版本4.10.18和5.3.1中的NPM parse-server 包中修复。这些补丁可阻止 MongoDB 数据库适配器中的原型污染漏洞。如无法立即应用更新,则用户可通过 MongoDB BSON解析器禁用RCE,保护自身安全。
复杂任务
该缺陷是研究员在承担一个研究项目时发现的。研究人员调查了Node.js 系统中的原型污染漏洞如何可导致RCE攻击。研究人员指出,“检测原型污染漏洞是一项复杂任务。然而,在实践中演示漏洞高影响力的利用更复杂,但仍然是可行的。”研究人员将在2023年的USENIX Security大会上展示这一研究成果。
全局 gadgets
原型污染影响 Node.js 和基于原型的语言如 JavaScript等,涉及“在运行时,将原型注入某对象的根原型中,最终触发合法的code gadgets,访问该对象原型上的这些属性。”
研究人员开始“在合格的 Node.js 应用中查找DoS以外的端对端利用”,以及“第一个多阶段框架,它使用多标签静态污染分析,识别Node.js 库和应用中的原型污染,并作为检查全局gadgets的混合方式”。漏洞详情后续将在趋势科技ZDI博客文章中发布。
今年Parse Server 修复的其它问题还包括可导致暴力破解用户敏感数据的漏洞以及影响 Apple Game Center的一个高危认证绕过漏洞。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
原文链接
https://portswigger.net/daily-swig/prototype-pollution-project-yields-another-parse-server-rce
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
4116
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
