మ్యూజిక్ ప్లాట్ఫారమ్ Spotify సైబర్టాక్ చేతిలో ఎరగా ఉండకుండా ఆపలేకపోయింది.
థర్డ్-పార్టీ మాడ్యూల్లో ఇటీవల బహిర్గతం చేయబడిన బగ్ను ఉపయోగించుకోవడం ద్వారా రిమోట్ కోడ్ అమలును పొందేందుకు ఉపయోగించబడే తీవ్రమైన భద్రతా లోపానికి Spotify యొక్క బ్యాక్స్టేజ్ హాని కలిగిస్తుందని కనుగొనబడింది.
దుర్బలత్వం (CVSS స్కోర్: 9.8), గత నెలలో వెలుగులోకి వచ్చిన ప్రముఖ జావాస్క్రిప్ట్ శాండ్బాక్స్ లైబ్రరీ (CVE-2022-36067 అకా శాండ్బ్రేక్) vm2లో క్లిష్టమైన శాండ్బాక్స్ ఎస్కేప్ ప్రయోజనాన్ని పొందుతుంది.
"ప్రామాణీకరించబడని ముప్పు నటుడు పరంజా కోర్ ప్లగ్ఇన్లో vm2 శాండ్బాక్స్ ఎస్కేప్ను ఉపయోగించడం ద్వారా తెరవెనుక అప్లికేషన్లో ఏకపక్ష సిస్టమ్ ఆదేశాలను అమలు చేయవచ్చు" అని అప్లికేషన్ సెక్యూరిటీ సంస్థ ఆక్సీ ది హ్యాకర్ న్యూస్తో పంచుకున్న నివేదికలో తెలిపింది.
Oxeye ప్రకారం, భద్రతా లోపం సాఫ్ట్వేర్ టెంప్లేట్లు అనే సాధనంలో పాతుకుపోయింది, ఇది తెరవెనుక భాగాలను రూపొందించడానికి ఉపయోగించవచ్చు.
టెంప్లేట్ ఇంజిన్ అవిశ్వసనీయ కోడ్ను అమలు చేయడంతో సంబంధం ఉన్న ప్రమాదాన్ని తగ్గించడానికి vm2ని ఉపయోగిస్తుండగా, రెండోదానిలోని శాండ్బాక్స్ ఎస్కేప్ లోపం భద్రతా చుట్టుకొలత వెలుపల ఏకపక్ష సిస్టమ్ ఆదేశాలను అమలు చేయడం సాధ్యం చేసింది.
ఇంటర్నెట్లో బహిరంగంగా బహిర్గతమయ్యే 500 కంటే ఎక్కువ బ్యాక్స్టేజ్ ఇన్స్టాన్స్లను గుర్తించగలిగిందని, ఆ తర్వాత ఎలాంటి అధికారం అవసరం లేకుండా ప్రత్యర్థి రిమోట్గా ఆయుధం చేయవచ్చని ఆక్సీ చెప్పారు.
ఆగస్టు 18న బాధ్యతాయుతమైన బహిర్గతం తర్వాత, ఆగస్ట్ 29, 2022న విడుదల చేసిన వెర్షన్ 1.5.1లో ప్రాజెక్ట్ మెయింటెయినర్లు సమస్యను పరిష్కరించారు.
"ఏదైనా టెంప్లేట్-ఆధారిత VM ఎస్కేప్ యొక్క మూలం టెంప్లేట్లోని జావాస్క్రిప్ట్ అమలు హక్కులను పొందుతోంది" అని ఇజ్రాయెల్ కంపెనీ పేర్కొంది. "మీసాల వంటి 'లాజిక్-లెస్' టెంప్లేట్ ఇంజిన్లను ఉపయోగించడం ద్వారా, మీరు సర్వర్-సైడ్ టెంప్లేట్ ఇంజెక్షన్ దుర్బలత్వాలను పరిచయం చేయడాన్ని నివారించవచ్చు."
"సాధ్యమైనంత వరకు ప్రెజెంటేషన్ నుండి లాజిక్ను వేరు చేయడం వలన అత్యంత ప్రమాదకరమైన టెంప్లేట్ ఆధారిత దాడులకు మీరు గురికావడాన్ని బాగా తగ్గించవచ్చు" అని అది ఇంకా జోడించింది.