聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Oxeye 公司在报告中指出,“未认证攻击者可利用 Scaffolder 核心组件中的一个vm2沙箱逃逸漏洞,在Backstage应用跟上执行任意系统命令。”
Backstage 是一款由Spotify 公司推出的开源开发者平台,可使用户从统一的“前门”创建、管理并探索软件组件。很多公司如Netflix、DoorDash、Roku和 Expedia 等都在使用它。
研究人员指出,该漏洞位于名为“软件模板”的工具中,用户可通过该工具在 Backstage 中创建组件。虽然该模板引擎利用vm2缓解与运行不可信代码相关的风险,但vm2中的沙箱逃逸漏洞使得攻击者能够在安全边界外执行任意系统命令。该公司指出,可识别超过500个公开暴露的 Backstage实例,攻击者可在无需任何授权的情况下远程利用这些实例。
研究员已在8月18日告知Backstage的项目维护人员,后者在8月29日推出版本Backstage 1.5.1予以修复,并指出用户应确保Backstage中使用的vm2至少是3.9.11版本。
研究员指出,“任何基于模板的VM逃逸漏洞的根因都是获得该模板内的JavaScript执行权限。通过利用 ‘logic-less’模板引擎如Mustache等,可以避免引入服务器端的模板注入漏洞。将模板尽快隔离可大大降低最危险的基于模板的攻击风险。”
https://thehackernews.com/2022/11/critical-rce-flaw-reported-in-spotifys.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~