می 5, 2024
نقص مهم RCE در کاتالوگ نرم افزار Backstage و پلتفرم توسعه دهندگان Spotify گزارش شده است امنیت سایبری آخرین بینش ها و روندها در زمینه فناوری و موارد دیگر CyberVish
امنیت سایبری

نقص مهم RCE در کاتالوگ نرم افزار Backstage و پلتفرم توسعه دهندگان Spotify گزارش شده است

  • توسط
  • 17 نوامبر 2022
  • 0 نظرات
  • 1 دقیقه مطالعه کنید
  • 7392 بازدیدها
  • 1 سال پیش

پلتفرم موسیقی Spotify نتوانست جلوی طعمه شدن در دستان حملات سایبری را بگیرد.

Spotify's Backstage به‌عنوان آسیب‌پذیر در برابر یک نقص امنیتی شدید شناسایی شده است که می‌تواند با استفاده از یک باگ اخیراً فاش شده در یک ماژول شخص ثالث، برای اجرای کد از راه دور مورد سوء استفاده قرار گیرد.

این آسیب‌پذیری (امتیاز CVSS: 9.8)، در هسته‌اش، از یک فرار از جعبه ایمنی حیاتی در vm2، یک کتابخانه محبوب جعبه ایمنی جاوا اسکریپت (CVE-2022-36067 با نام مستعار Sandbreak)، که ماه گذشته آشکار شد، بهره می‌برد.

شرکت امنیتی برنامه Oxeye در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «یک عامل تهدید احراز هویت نشده می‌تواند دستورات سیستم دلخواه را در یک برنامه Backstage با بهره‌برداری از vm2 sandbox escape در پلاگین هسته Scaffolder اجرا کند.

به گفته Oxeye، این نقص امنیتی ریشه در ابزاری به نام قالب‌های نرم‌افزاری دارد که می‌توان از آن برای ایجاد اجزا در Backstage استفاده کرد.

در حالی که موتور قالب از vm2 برای کاهش خطر مرتبط با اجرای کد نامعتبر استفاده می کند، نقص فرار sandbox در دومی امکان اجرای دستورات سیستم دلخواه را در خارج از محیط امنیتی فراهم می کند.

SPOTIFY
منبع تصویر- CNBC

Oxeye گفت که قادر است بیش از 500 نمونه Backstage را که در معرض عموم قرار گرفته اند را در اینترنت شناسایی کند، که سپس می تواند از راه دور توسط یک دشمن بدون نیاز به مجوز مورد استفاده قرار گیرد.

پس از افشای مسئولانه در 18 آگوست، این مشکل توسط نگهبانان پروژه در نسخه 1.5.1 که در 29 آگوست 2022 منتشر شد، بررسی شد.

این شرکت اسرائیلی خاطرنشان کرد: "ریشه هر فرار VM مبتنی بر الگو، به دست آوردن حقوق اجرای جاوا اسکریپت در قالب است." با استفاده از موتورهای قالب بدون منطق مانند Mustache، می‌توانید از معرفی آسیب‌پذیری‌های تزریق قالب در سمت سرور جلوگیری کنید.»

در ادامه افزود: «تفکیک منطق از ارائه تا حد امکان می تواند تا حد زیادی قرار گرفتن در معرض خطرناک ترین حملات مبتنی بر الگو را کاهش دهد.

برچسب ها:

این اعلان را به اشتراک گذارید:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پست مرتبط

مقالات, امنیت سایبری

افشای نقاب از سمت تاریک رسانه های اجتماعی: تهدیدات امنیت سایبری

14 مارس 2023
مقالات, امنیت سایبری

شکستن کد: کشف انگیزه های جرایم سایبری

14 مارس 2023
مقالات, امنیت سایبری, فن آوری

هکرها از برنامه های OAuth مایکروسافت برای نفوذ به ایمیل شرکت سوء استفاده کردند

فوریه 1, 2023
مقالات, امنیت سایبری

مایکروسافت به کاربران توصیه می کند که سرورهای Exchange خود را بالا نگه دارند

31 ژانویه 2023
مقالات, امنیت سایبری, فن آوری

آژانس سایبری انگلیس نسبت به هکرهای روسی و ایرانی هشدار داد

28 ژانویه 2023
مقالات, امنیت سایبری, فن آوری

بیش از 4500 سایت ورلدپرس هک شدند تا بازدیدکنندگان را به آن هدایت کنند

26 ژانویه 2023
fa_IRفارسی
en_USEnglish hi_INहिन्दी guગુજરાતી ta_INதமிழ் teతెలుగు mrमराठी ml_INമലയാളം bn_BDবাংলা fr_BEFrançais de Belgique de_CHDeutsch (Schweiz) de_DE_formalDeutsch (Sie) de_DEDeutsch en_CAEnglish (Canada) en_NZEnglish (New Zealand) en_GBEnglish (UK) en_AUEnglish (Australia) en_ZAEnglish (South Africa) afAfrikaans urاردو arالعربية ru_RUРусский zh_CN简体中文 azAzərbaycan dili asঅসমীয়া hu_HUMagyar id_IDBahasa Indonesia es_AREspañol de Argentina es_COEspañol de Colombia ja日本語 it_ITItaliano viTiếng Việt ukУкраїнська fr_CAFrançais du Canada fa_IRفارسی