Исследователи в области кибербезопасности обнаружили новые уязвимости в текстовом редакторе Etherpad (версии 1.8.13), которые потенциально могут позволить злоумышленникам захватить учетные записи администраторов, выполнять системные команды и даже красть конфиденциальные документы.
Два дефекта - отслеживаемые как CVE-2021-34816 и CVE-2021-34817 - были обнаружены 4 июня исследователями из SonarSource, после чего для них были разработаны исправления в версии Etherpad 1.8.14, выпущенной 4 июля.
Etherpad - это интерфейс совместной работы в реальном времени, который позволяет редактировать документ одновременно нескольким авторам. Это альтернатива Google Docs с открытым исходным кодом, которая может быть размещена на собственных серверах.
«XSS-уязвимость позволяет злоумышленникам взять под контроль пользователей Etherpad, включая администраторов. Это может быть использовано для кражи или манипулирования конфиденциальными данными» - сообщил исследователь уязвимостей SonarSource Пол Герсте в отчете, предоставленном The Hacker News.
«Уязвимость инъекции аргументов позволяет злоумышленникам выполнить произвольный код на сервере, что позволит им красть, изменить или удалить все данные, или нацелиться на другие внутренние системы, доступные с сервера».
XSS-уязвимость (CVE-2021-34817) кроется в функции чата Etherpad: свойство «userId» сообщения чата - т.е. уникальный идентификатор, связанный с автором документа - отображается на фронт-энде без надлежащего экранирования специальных символов, что позволяет злоумышленнику внедрить вредоносный код JavaScript в историю чата и выполнять действия от имени пользователя жертвы.
CVE-2021-34816, с другой стороны, относится к тому, как Etherpad управляет плагинами. Имя пакета, устанавливаемого с помощью команды «npm install», не проверяется должным образом, что приводит к сценарию, который может позволить злоумышленнику «указать вредоносный пакет из репозитория NPM или просто использовать URL, указывающий на пакет на сервере злоумышленника».
Следствием успешной эксплуатации CVE-2021-34816 является выполнение произвольного кода и системных команд, что полностью компрометирует экземпляр Etherpad и его данные.
Более того, обе уязвимости могут быть задействованы злоумышленником сначала для получения учетной записи администратора, а затем использования этих привилегий для получения командной оболочки и выполнения вредоносного кода на сервере.
«Устранена постоянная XSS-уязвимость в компоненте Chat» - сообщили разработчики Etherpad в примечаниях к релизу версии 1.8.14. «В случае если вы не можете обновиться до 1.8.14 напрямую, мы настоятельно рекомендуем использовать commit a796811». Стоит отметить, что уязвимость инъекции аргументов остается непропатченной, хотя исследователи отмечают, что этот недостаток «значительно сложнее эксплуатировать самостоятельно».
Исследование подчеркивает, «насколько важна валидация и санация данных для предотвращения подобных дефектов во время разработки» - заявил Герсте, добавив, что «малейшая ошибка в программировании может стать для злоумышленника первой ступенькой для запуска дальнейших атак на программное обеспечение».
Пользователям Etherpad настоятельно рекомендуется обновить свои установки до версии 1.8.14, чтобы снизить риски, связанные с этими дефектами.
Источник: https://is-systems.org