Una grave vulnerabilità di sicurezza in Backstage, un CNCF-incubato, progetto open-source di Spotify, è stato divulgato di recente. La vulnerabilità potrebbe consentire esecuzione di codice remoto attacca grazie a un altro problema in un modulo di terze parti. Questa edizione, noto come CVE-2022-36067, è una fuga sandbox critica in vm2, una nota libreria sandbox JavaScript.
CVE-2022-36067 e la connessione alla vulnerabilità nel backstage di Spotify
Qual 'é descrizione ufficiale di CVE-2022-36067? “vm2 è una sandbox in grado di eseguire codice non attendibile con i moduli integrati di Node inseriti nella whitelist. Nelle versioni precedenti alla version 3.9.11, un attore della minaccia può aggirare le protezioni sandbox per ottenere diritti di esecuzione di codice remoto sull'host che esegue la sandbox,” secondo il National Vulnerability Database.
CVE-2022-36067 è stato corretto nel rilascio della versione 3.9.11 di vm2, senza soluzioni alternative note.
Che dire della vulnerabilità Backstage di Spotify? Scoperto dal team di ricerca di Oxeye, la vulnerabilità sfrutta una fuga sandbox VM tramite la libreria di terze parti vm2. In termini di impatto, la vulnerabilità potrebbe essere sfruttata da un attore della minaccia non autenticato per eseguire comandi arbitrari su un'applicazione Backstage sfruttando una fuga sandbox vm2 nel plug-in principale di Scaffolder.
Backstage è un portale per sviluppatori open source di Spotify che consente la creazione e la gestione di componenti software da una porta d'ingresso unificata. È interessante notare che molte altre aziende utilizzano Backstage, compresi nomi come Expedia e Netflix. I ricercatori affermano che il difetto deriva da uno strumento chiamato "modelli software" che crea componenti all'interno di Backstage.
Oxeye ha fatto una rivelazione responsabile ad agosto 18 2022, e il problema è stato risolto dai manutentori del progetto nella versione Backstage 1.5.1 poco dopo. Se utilizzi Backstage nella tua organizzazione, il team consiglia vivamente di aggiornarlo all'ultima versione. “Inoltre, se stai utilizzando un motore di template nella tua applicazione, assicurati di scegliere quello giusto in relazione alla sicurezza. I robusti motori di template sono estremamente utili ma potrebbero rappresentare un rischio per la tua organizzazione,” l'azienda aggiunto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: