Accueil > Nouvelles Cyber > Les coulisses de Spotify vulnérables à l'exécution critique de code à distance
CYBER NOUVELLES

Les coulisses de Spotify vulnérables à l'exécution critique de code à distance

Vulnérabilité dans les coulisses de Spotify

Une grave faille de sécurité dans Backstage, une incubation CNCF, projet open source par Spotify, a été révélé récemment. La vulnérabilité pourrait permettre exécution de code distant attaques grâce à un autre problème dans un module tiers. Ce problème, connue sous le nom de CVE-2022-36067, est une évasion critique du bac à sable dans vm2, une bibliothèque sandbox JavaScript bien connue.

CVE-2022-36067 et la vulnérabilité liée à la vulnérabilité Backstage de Spotify

Quel est le Description officielle de CVE-2022-36067? "vm2 est un bac à sable qui peut exécuter du code non approuvé avec les modules intégrés de Node sur liste blanche. Dans les versions antérieures à la version 3.9.11, un acteur malveillant peut contourner les protections du bac à sable pour obtenir des droits d'exécution de code à distance sur l'hôte exécutant le bac à sable,” selon la base de données nationale sur les vulnérabilités.




CVE-2022-36067 a été corrigé dans la publication de la version 3.9.11 de vm2, sans solutions de contournement connues.

Qu'en est-il de la vulnérabilité Backstage de Spotify? Découvert par l'équipe de recherche d'Oxeye, la vulnérabilité exploite une évasion de bac à sable VM via la bibliothèque tierce vm2. En termes de son impact, la vulnérabilité pourrait être exploitée par un acteur malveillant non authentifié pour exécuter des commandes arbitraires sur une application Backstage en tirant parti d'un échappement de bac à sable vm2 dans le plug-in principal Scaffolder.

Backstage est un portail de développeurs open source de Spotify qui permet la création et la gestion de composants logiciels à partir d'une porte d'entrée unifiée. Il est à noter que de nombreuses autres entreprises utilisent Backstage, y compris des noms tels qu'Expedia et Netflix. Les chercheurs disent que la faille provient d'un outil appelé "modèles logiciels" qui crée des composants dans Backstage.

Oxeye a fait une divulgation responsable en août 18 2022, et le problème a été résolu par les responsables du projet dans la version Backstage 1.5.1 juste après. Si vous utilisez Backstage dans votre organisation, l'équipe recommande fortement de le mettre à jour vers la dernière version. “En outre, si vous utilisez un moteur de template dans votre application, assurez-vous de choisir le bon par rapport à la sécurité. Les moteurs de modèles robustes sont extrêmement utiles mais peuvent présenter un risque pour votre organisation,” l'entreprise ajoutée.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord