Une grave faille de sécurité dans Backstage, une incubation CNCF, projet open source par Spotify, a été révélé récemment. La vulnérabilité pourrait permettre exécution de code distant attaques grâce à un autre problème dans un module tiers. Ce problème, connue sous le nom de CVE-2022-36067, est une évasion critique du bac à sable dans vm2, une bibliothèque sandbox JavaScript bien connue.
CVE-2022-36067 et la vulnérabilité liée à la vulnérabilité Backstage de Spotify
Quel est le Description officielle de CVE-2022-36067? "vm2 est un bac à sable qui peut exécuter du code non approuvé avec les modules intégrés de Node sur liste blanche. Dans les versions antérieures à la version 3.9.11, un acteur malveillant peut contourner les protections du bac à sable pour obtenir des droits d'exécution de code à distance sur l'hôte exécutant le bac à sable,” selon la base de données nationale sur les vulnérabilités.
CVE-2022-36067 a été corrigé dans la publication de la version 3.9.11 de vm2, sans solutions de contournement connues.
Qu'en est-il de la vulnérabilité Backstage de Spotify? Découvert par l'équipe de recherche d'Oxeye, la vulnérabilité exploite une évasion de bac à sable VM via la bibliothèque tierce vm2. En termes de son impact, la vulnérabilité pourrait être exploitée par un acteur malveillant non authentifié pour exécuter des commandes arbitraires sur une application Backstage en tirant parti d'un échappement de bac à sable vm2 dans le plug-in principal Scaffolder.
Backstage est un portail de développeurs open source de Spotify qui permet la création et la gestion de composants logiciels à partir d'une porte d'entrée unifiée. Il est à noter que de nombreuses autres entreprises utilisent Backstage, y compris des noms tels qu'Expedia et Netflix. Les chercheurs disent que la faille provient d'un outil appelé "modèles logiciels" qui crée des composants dans Backstage.
Oxeye a fait une divulgation responsable en août 18 2022, et le problème a été résolu par les responsables du projet dans la version Backstage 1.5.1 juste après. Si vous utilisez Backstage dans votre organisation, l'équipe recommande fortement de le mettre à jour vers la dernière version. “En outre, si vous utilisez un moteur de template dans votre application, assurez-vous de choisir le bon par rapport à la sécurité. Les moteurs de modèles robustes sont extrêmement utiles mais peuvent présenter un risque pour votre organisation,” l'entreprise ajoutée.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: