Discourse odpravlja kritične ranljivosti, povezane s preverjanjem, v programski opremi foruma

Govoriti moramo o pomanjkanju preverjanja

Razvijalci priljubljene odprtokodne forumske programske opreme Discourse so odpravili varnostno napako, ki jo lahko doseže napadalec. Izvedba kode na daljavo (RCE) v ranljivih sistemih.

Pomembna napaka (CVE-2021-41163Vpliva na različice diskurza 2.7.8 in starejše, ki jih sproži zlonamerna dejavnost. Amazon SNS Naročnina.

Osnovni vzrok težave je posledica napake pri preverjanju v zgornjem toku aws-sdk-sns dragulj, AWS obveščanje webhook handler za predavanje.

Pomanjkanje tega preverjanja subscribe_url Vrednosti omogočajo napadalcu, da prek zlonamernih zahtev doseže RCE.

Preberite več o najnovejših novicah o varnostnih ranljivostih

Uporabnikom svetujemo, naj posodobijo na različico 2.7.9 ali novejšo.

Alternativna rešitev, ki zagotavlja določeno zaščito, je možna z blokiranjem zahtevkov z zagonom poti / webhooks / aws V zgornjem proxyju, kot je opisano v a Varnostno opozorilo Objavljeno na GitHubu.

Pregled Ranljivost, Odkril varnostni raziskovalec z ročajem ‘Jorsensen’, ki je podrobno opisan v Objava v blogu o tehnologiji.

Tudi tebi bo všeč Peskovniki Node.js so odprti za emulacijo onesnaževanja

READ  Zakaj se riž uporablja za sušenje mobilnih telefonov?

Maja Irena

Predan televizijski strokovnjak. Poklicni znanstvenik pop kulture. Študent. Potovalni strokovnjak. Spletni fanatik.

Related Posts

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Read also x