Музична платформа Spotify не могла не стати здобиччю в руках кібератак.
Було виявлено, що Backstage Spotify є вразливим до серйозної помилки безпеки, яку можна використати для отримання віддаленого виконання коду за допомогою нещодавно виявленої помилки в сторонньому модулі.
Вразливість (оцінка CVSS: 9,8) за своєю суттю використовує переваги критичного вихідного коду пісочниці у vm2, популярній бібліотеці пісочниці JavaScript (CVE-2022-36067, також відомої як Sandbreak), яка з’явилася минулого місяця.
«Неавтентифікований загрозливий суб’єкт може виконувати довільні системні команди в додатку Backstage, використовуючи вихідний код пісочниці vm2 у плагіні ядра Scaffolder», — заявила фірма безпеки додатків Oxeye у звіті, наданому The Hacker News.
За словами Oxeye, недолік безпеки корениться в інструменті під назвою шаблони програмного забезпечення, який можна використовувати для створення компонентів у Backstage.
Хоча механізм шаблонів використовує vm2 для пом’якшення ризику, пов’язаного із запуском ненадійного коду, недолік вихідного програмного середовища в останньому дозволяв виконувати довільні системні команди за межами периметра безпеки.
Oxeye повідомила, що змогла ідентифікувати понад 500 публічно викритих екземплярів Backstage в Інтернеті, які потім могли дистанційно використовуватися противником без будь-якого дозволу.
Після відповідального розголошення 18 серпня цю проблему було вирішено розробниками проекту у версії 1.5.1, випущеній 29 серпня 2022 року.
«Коренем будь-якого виходу віртуальної машини на основі шаблону є отримання прав на виконання JavaScript у шаблоні», — зазначила ізраїльська компанія. «Використовуючи «безлогічні» механізми шаблонів, такі як Mustache, ви можете уникнути впровадження вразливостей шаблону на стороні сервера».
«Відокремлення логіки від презентації, наскільки це можливо, може значно зменшити ваш вплив на найнебезпечніші атаки на основі шаблонів», – додає далі.
Українська 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
فارسی 
Français du Canada