En alvorlig sikkerhedssårbarhed i Backstage, en CNCF-inkuberet, open source-projekt af Spotify, er blevet afsløret for nylig. Sårbarheden kunne tillade fjernkørsel af programkode angreb takket være et andet problem i et tredjepartsmodul. Denne sag, kendt som CVE-2022-36067, er en kritisk sandkasse-escape i vm2, et velkendt JavaScript-sandkassebibliotek.
CVE-2022-36067 og forbindelsen til Spotifys Backstage-sårbarhed
Hvad er officiel beskrivelse af CVE-2022-36067? "vm2 er en sandkasse, der kan køre upålidelig kode med hvidlistede Nodes indbyggede moduler. I versioner før version 3.9.11, en trusselsaktør kan omgå sandkassebeskyttelsen for at opnå fjernudførelse af kode på værten, der kører sandkassen,” ifølge National Vulnerability Database.
CVE-2022-36067 blev rettet i udgivelsen af version 3.9.11 af vm2, uden kendte løsninger.
Hvad med Spotifys Backstage-sårbarhed? Opdaget af Oxeyes forskerhold, sårbarheden udnytter en VM-sandbox-escape via vm2-tredjepartsbiblioteket. Med hensyn til dens indvirkning, sårbarheden kunne udnyttes af en uautoriseret trusselsaktør til at udføre vilkårlige kommandoer på en Backstage-applikation ved at udnytte en vm2-sandbox-escape i Scaffolder-kernepluginnet.
Backstage er en open source-udviklerportal fra Spotify, der muliggør oprettelse og administration af softwarekomponenter fra en samlet hoveddør. Det er bemærkelsesværdigt, at mange andre virksomheder bruger Backstage, herunder navne som Expedia og Netflix. Forskerne siger, at fejlen stammer fra et værktøj kaldet "softwareskabeloner", der skaber komponenter i Backstage.
Oxeye fremsatte en ansvarlig afsløring i august 18 2022, og problemet blev løst af projektets vedligeholdere i Backstage-versionen 1.5.1 kort efter. Hvis du bruger Backstage i din organisation, teamet anbefaler kraftigt at opdatere den til den nyeste version. “Desuden, hvis du bruger en skabelonmotor i din applikation, sørg for at vælge den rigtige i forhold til sikkerhed. Robuste skabelonmotorer er ekstremt nyttige, men kan udgøre en risiko for din organisation,” virksomheden tilføjet.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: