开源论坛软件NodeBB中的关键漏洞可能导致RCE |每日swbeplay2018官网ig

开源论坛软件NODEBB中的关键漏洞可能导致RCE

个人数据，帐户访问有风险

研究人员警告说，开源论坛平台NODEBB中的关键漏洞可以使攻击者可以窃取私人信息并访问管理员帐户。

NodeBB是一个基于JavaScript的论坛软件，在GitHub上拥有超过12,000星。

来自Sonarsource的研究人员在软件中发现了三个单独的漏洞，如果滥用，这可能会导致基础服务器上的远程代码执行（RCE）。

博客文章中确定的三个软件问题是路径遍历错误，a跨站脚本（（XSS）缺陷和身份验证旁路漏洞。

路径遍历错误（CVE-2021-43788）允许用户在预期语言/目录之外访问JSON文件，并可以允许攻击者泄漏潜在敏感的文件，例如NodeBB配置或带有个人身份信息的用户配置文件。

XSS漏洞（CVE-2021-43787）可以使用攻击者接管包括管理员帐户在内的用户帐户。要被劫持，受害者只需要访问恶意用户的个人资料或论坛帖子即可。

最后，身份验证绕过错误（CVE-2021-43786）允许攻击者仅使用一个请求直接在服务器上执行命令。

发现该错误的研究员保罗·格斯特（Paul Gerste）解释说，无论Nodebb的配置如何，它都可以滥用，并且不需要攻击者拥有一个帐户，“对未拨打的实例非常危险”。

格斯特告诉每日swbeplay2018官网ig：“身份验证旁路很有趣，因为它具有严重的影响，其基本缺陷是由细节引起的JavaScript编程语言。

“它很容易忽略，并且仅涉及基本的JavaScript语法，因此对于那些不知道JavaScript某些细节的开发人员来说，这可能会导致如此严重的错误。”

将三个漏洞链接在一起，无论其配置如何，都可以在NodeBB服务器上进行RCE。

重要的是，这可以在没有NodeBB帐户或任何信息的情况下实现，这意味着潜在的肇事者可以直接攻击Internet上可用的任何实例。

一个博客文章Sonarsource包含有关漏洞的完整技术细节，这些细节已在最新版本中进行了修补。

鼓励NodeBB用户更新到至少版本1.18.5防止安全缺陷。

在谈到披露过程时，格斯特说，“非常顺利，没有任何问题”。

他补充说：“ nodebb有一个错误赏金程序，因此很明显如何就安全问题与他们联系。

“维护者从一开始就认真对待我们的咨询，并很快发布了一个修复程序 - 报告了报告后48小时。

“他们感谢我们，并授予我们1,536美元的赏金。”

开源论坛软件NODEBB中的关键漏洞可能导致RCE